1. 파일 시그니처 (File signature) (= file magic number)
파일 형식마다 가지고 있는 고유의 특징, 포맷에 대한 정보이다.
- > 파일의 형식마다 정해져 있는 특정 byte 들이다.
파일의 처음에 있는 시그니처는 헤더(header) 시그니처
파일의 마지막에 있는 시그니처는 푸터(Footer or Tailer) 시그니처이다.
# 헤더와 푸터 시그니처가 다른 형식일 경우, 파일에 문제가 있거나 조작된 파일일 가능성이 있음.
| file type | Header Signature (Hex) | Footer Signature (Hex) |
| JPEG | FF D8 FF E0 xx xx 4A 46 49 46 |
FF D9 |
| FF D8 FF E8 xx xx 45 78 69 66 |
||
| GIF |
47 49 46 38 37 61 | 00 3B |
| 47 49 46 38 39 61 | ||
| PNG | 89 50 4E 47 0D 0A 1A 0A | 49 45 4E 44 AE 42 60 82 |
| 25 50 44 46 2D 31 2E | 25 25 45 4F 46 | |
| ZIP | 50 4B 03 04 | 50 4B 05 06 |
-> 대부분의 사진들은 JPG,JPEG,PNG 확장자
-> 더 많은 시그니처는 ( https://www.garykessler.net/library/file_sigs.html )
( https://en.wikipedia.org/wiki/List_of_file_signatures )
2. MAC HxD
Hex Editor (HxD Editor)
- Hex Editor 프로그램을 사용하면 다른 응용 프로그램 소프트웨어가 파일 형식과 연결할 수 있는 동일한 내용을 해석하는 것과 달리,
파일의 원본 내용과 정확한 내용을 보거나 편집할 수 있다.
- 무료 제공, 윈도우 사용 가능
맥북은 일단 기본 HxD이 지원하지 않기 때문에 mac 환경에서도 쓸 수 있는 프로그램을 찾았다.
HexField 프로그램
Hex Fiend, a fast and clever hex editor for macOS
Insert, delete, rearrange. Hex Fiend does not limit you to in-place changes like some hex editors. Work with huge files. Hex Fiend can handle as big a file as you’re able to create. Small footprint. Hex Fiend launches instantly even with huge fi
hexfiend.com
실행시켜 보면
이런 식으로 헤더를 통해 파일 시그니처를 알아낼 수 있다.
# 세미나 후..
저 파일의 시그니처를 알아내고 파일의 타입을 .jpeg 로 바꿔준다면 어떤 사진인지 확인 할 수 있다.
-> 해당 사진의 원본과 추출 후 사진의 파일 크기가 달라지는 지 (사진이 압축 되는지..) 등의 확인도 필요할 수 있다.
'Forensic > Basic' 카테고리의 다른 글
| 디포챌린지 준비 (0) | 2022.10.02 |
|---|---|
| Mac adb 환경변수 설정, 안드로이드 앱 데이터 추출 방법 (0) | 2022.08.24 |
| .xml 파일 (0) | 2022.08.04 |
| 안드로이드 DB 파일 추출 (adb 명령어) (0) | 2022.07.30 |
| 개념 정리 , 단어조사 (정리 안 함) (0) | 2022.07.28 |
