파일 시그니처 ( File signature )
파일들은 각각의 고유한 포멧을 가지고 있는데 포맷의 기본이 되는 내용이 파일시그니처 ( Magic number ) 이다.
파일의 맨 앞에 존재하는 시그니처는 헤더 시그니처, 파일의 마지막에 존재하는 시그니처는 푸터 시그니처라고 한다.
| signature header | signature footer | |
| png | 89 50 4E 47 0D 0A 1A 0A | 49 45 4E 44 AE 42 60 82 |
| bmp | 42 4D | |
| jpg | FF D8 FF E0 xx xx 4A 46 49 46 FF D9 | |
| jpeg | FF D8 FF E8 xx xx 45 78 69 66 FF D9 | |
| gif | 47 49 46 38 37 61 | 00 3B |
| 47 49 46 38 39 61 | 00 3B | |
| 25 50 44 46 2D 31 2E | 25 25 45 4F 46 | |
| zip/docx | 50 4B 03 04 | 50 4B 05 06 |
| wav | 52 49 46 46 xx xx xx xx | |
| mp3 | 57 41 56 45 66 6D 74 20 | |
| mp4 | 00 00 00 18 66 74 79 70 | 33 67 70 35 |
| 00 00 00 14 66 74 79 70 |
파일형식에 따른 파일시그니처 목록이다. ( xx는 아무값이나 넣어도 상관없음 )
Header Signature 는 모든 파일이 필수적이나 Footer Signature 는 있는파일도 있고 없는 파일도 있다.
이때 파일이 열리는데 필수적인것은 Header Signature 뿐이나 , 본 게시글에서는 Footer Signature 도 수정할것임.
( Footer Signature을 수정하지 않아도 Header Signature 이 정확하다면 파일은 문제없이 실행됨 )
파일 시그니처에 대해 간략하게 알아보았다면 이제 실습을 진행해보자 .
아래의 파일들은 파일시그니처가 손상되어 파일이 열리지 않는다.
이 파일들을 열리게 HxD를 이용해 수정해보는 실습을 해보자.
1. pdf
Header Signature: 25 50 44 46 2D 31 2E
FooterSignature: 25 25 45 4F 46
1.pdf파일을 HxD로 오픈해보자.
pdf파일의 시그니처는 ' 25 50 44 46 2D 31 2E ' 인데 파일을 열어보니 시그니처가 존재하지 않으므로 파일의 맨 앞의 시그니처를 다음과 같이 추가해준다
파일의 마지막으로 가보니 Footer Signature 또한 존재하지 않으므로 파일실행에는 문제가 없더라도 추가해주자.
HxD로 수정한 파일을 저장하면 1.pdf 가 열리는것을 확인할 수 있다.
2. png
Header Signature: 89 50 4E 47 0D 0A 1A 0A
FooterSignature: 49 45 4E 44 AE 42 60 82
2.png 파일을 HxD로 오픈해보자.
png 파일의 시그니처는 ' 89 50 4E 47 0D 0A 1A 0A ' 인데 파일을 열어보니 시그니처가 존재하지 않으므로 파일의 맨 앞에 시그니처를 다음과 같이 추가해준다
파일의 마지막으로 가보니 footer또한 존재하지 않으므로 파일실행에는 문제가 없더라도 추가해주자.
HxD로 수정한 파일을 저장하면 1.pdf 가 열리는것을 확인할 수 있다.
3. bmp
Header Signature: 42 4D
3.bmp 파일을 HxD로 오픈해보자.
bmp 파일의 시그니처는 ' 42 4D ' 인데 파일을 열어보니 시그니처가 존재하지 않으므로 파일의 맨 앞에 시그니처를 다음과 같이 추가해준다
HxD로 저장하고 나서 3.bmp 가 열리는것을 확인
4. jpg
Header Signature: FF D8 FF E0 xx xx 4A 46 49 46 FF D9
4.jpg 파일을 HxD로 오픈해보자.
jpg 파일의 시그니처는 'FF D8 FF E0 00 00 4A 46 49 46 ' 인데 파일을 열어보니 시그니처가 존재하지 않으므로 파일의 맨 앞에 시그니처를 다음과 같이 추가해준다.
이때 xx에는 아무값이나 들어가도 상관없으니 0으로 채워주자
파일의 마지막으로 가보니 Footer Signature또한 존재하지 않으므로 파일실행에는 문제가 없더라도 추가해주자.
HxD로 저장하고 나서 4.jpg 가 열리는것을 확인
5. gif
Header Signature: 47 49 46 38 37 61 / 47 49 46 38 39 61
FooterSignature: 00 3B / 00 3B
5.gif 파일을 HxD로 오픈해보자.
gif파일의 시그니처는 '47 49 46 38 37 61 ' 인데 파일을 열어보니 시그니처가 존재하지 않으므로 파일의 맨 앞에 시그니처를 다음과 같이 추가해준다
파일의 마지막으로 가보니 Footer Signature또한 존재하지 않으므로 파일실행에는 문제가 없더라도 추가해주자.
HxD로 저장하고 나서 5.gif 가 열리는것을 확인
6. docx
Header Signature: 50 4B 03 04
FooterSignature: 50 4B 05 06
6.docx 파일을 HxD로 오픈해보자.
docx 파일의 시그니처는 '50 4B 03 04' 인데 파일을 열어보니 시그니처가 존재하지 않으므로 파일의 맨 앞에 시그니처를 다음과 같이 추가해준다
파일의 마지막으로 가보니 Footer Signature 또한 존재하지 않으므로 파일실행에는 문제가 없더라도 추가해주자.
HxD로 저장하고 나서6.docx 가 열리는것을 확인
7. zip
Header Signature: 50 4B 03 04
FooterSignature: 50 4B 05 06
7.zip 파일을 HxD로 오픈해보자.
zip파일의 시그니처는 '50 4B 03 04' 인데 파일을 열어보니 시그니처가 존재하지 않으므로 파일의 맨 앞에 시그니처를 다음과 같이 추가해준다
HxD로 저장하고 나서 7.zip 가 열리는것을 확인
8.mp4
Header Signature: 00 00 00 18 66 74 79 70 / 00 00 00 14 66 74 79 70
FooterSignature: 33 67 70 35
8.mp4 파일을 HxD로 오픈해보자.
mp4 파일의 시그니처는 '00 00 00 18 66 74 79 70' 인데 파일을 열어보니 시그니처가 존재하지 않으므로 파일의 맨 앞에 시그니처를 다음과 같이 추가해준다
이거 까먹음 ㅠ
'정보보안 > 안티포렌식' 카테고리의 다른 글
| 스테가노그래피_영상파일 -1 (1) | 2022.09.25 |
|---|---|
| Anti Forensics _ 문서파일- 2 (0) | 2022.09.24 |
| Anti Forensics _ 문서파일- 1 (0) | 2022.09.24 |
