<DFRWS USA 2019> - 2일차
【 2019. 7. 15. 】
□ Session II : Files and Filesystem Forensics
(DB 포렌식, 파일시스템 포렌식)
◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)
◦ 발표 1
- 주제 : 구문론적 파일카빙 및 재현가능한 데이터셋 자동생성 (원제 : Syntactical File Carving and Automated Generation of Reproducible Datasets)
- 발표자 : Jan-Niclas Hilgert
- 발표내용
△ 파일카빙은 파일시스템이나 다른 외부 메타데이터에 의존하지 않고 저장매체에서 파일을 복구하는 기법
△ 파일이 연속적으로 저장된 경우 비교적 쉽게 카빙 가능하나, 단편화되어 저장된 경우 매우 복잡한 작업이 필요함
△ 기존의 PNG 파일카버는 헤더와 푸터(Header-to-footer)를 시그니처로 인식하여 카빙하거나, 헤더 내에 파일길이 정보를 분석하여 헤더부터 해당 크기만큼 카빙하는 방법임
△ 본 연구는 구문론적인 파일카빙(파일구조를 최대한 활용)을 이용하여 PNG 파일형식을 카빙하는 방법론을 연구함
① 시그니처 검색, ② Chunk 건너뛰기, ③ 유효한 Chunk 시그니처 검색, ④ 파일유형 특징 및 CRC 체크섬을 이용한 유효한 Chunk 확인 및 정렬, ⑤ 구문론적으로 가능성이 적은 Chunk 제외 등
△ 연구결과인 PNG 파일카버의 프로토타입을 활용하는 경우, 단편화되어 저장된 PNG 파일에 대해 높은 복원율을 보임
- 시사점 : 공유된 연구결과(https://github.com/fkie-cad/png-carving)를 활용하여, 단편화되어 저장된 PNG파일 카빙 시도 가능
'Digital Forensics' 카테고리의 다른 글
| DFRWS USA 2019 - DB 포렌식 도구 'DB3F & DF-Toolkit' (0) | 2019.10.17 |
|---|---|
| DFRWS USA 2019 - 삭제된 SQLite 복구 도구 'bring2lite' (0) | 2019.10.17 |
| DFRWS USA 2019 - BOF & Works In Progress (0) | 2019.10.17 |
| DFRWS USA 2019 - HTC Vive*를 이용한 몰입형 가상현실 메모리 포렌식 (0) | 2019.10.17 |
| DFRWS USA 2019 - PTE 검사를 통한 코드인젝션 탐지 (0) | 2019.10.17 |
