수 체계

수 체계 number system

비트, 바이트

컴퓨터의 모든 것은 1과 0으로 이루어져 있다. 

컴퓨터는 바이너리라고 불리는 2진수 언어를 사용한다.

각 1과 0은 비트라고 불리고, 컴퓨터는 계산 속도를 빠르게 하기 위해 비트를 여러 개 모아서 작업한다. 이 비트가 여러 개 모인 것을 바이트라고 부른다. 바이트는 8개의 비트로 이루어져 있다.

각 문자, 숫자, 스페이스, 특수 문자는 하나의 바이트로 표시된다.

메모장에 Digital Forensics라 치고 저장하면 파일의 크기가 17바이트이다. 

즉 문자와 스페이스 숫자의 합과 일치한다. 

문자열을 바이너리로 바꿔주는 프로그램

http://asciibinary.codeplex.com/

"Digital Forensics"를 바이너리로 바꾼 결과

헥사데시멀

헥사데시멀 또는 헥스는 16진수로 바이너리를 표시할 수 있는 방법이다. 

헥스는 0부터 8까지, A부터 F까지 사용해서 나타낸다.

예를 들면 "a"는 61, "M"은 4D, 스페이스는 20이다.

헥스에 0x가 붙는 경우가 있는데 앞에 0x나 뒤에 h가 붙으면 해당 숫자가 16진수란 의미다.

Digital Forensics를 헥스로 표시하면

44 69 67 69 74 61 6c 20 46 6f 72 65 6e 73 69 63

http://www.asciitohex.com/

ASCII, 유니코드

컴퓨터는 인코딩(encoding)을 통해 바이너리를 사람이 읽을 수 있는 문자로 변환한다.

인코딩 방법에는 두 가지가 있다.

하나는 아스키(ASCII, American Standard Code for Information Interchange, 미국 정보 교환 표준 부호)로 영어를 표시하기 위한 방법이다. 아스키는 128개의 문자를 정의하고 이 중에서 94개의 문자만이 실제로 출력할 수 있다. 

유니코드(Unicode)는 전 세계 모든 언어를 표시하기 위한 방법이다. 수천 개의 문자로 이루어져 있다. 

디지털 포렌식에서는 "비트"와 "바이트" 수준에서 데이터를 살펴보고 증거를 검색, 축출 및 해석해야 하는 경우가 많다. 

파일 카빙(file carving)은 특정한 형태가 없는 데이터를 바탕으로 파일의 위치를 확인하고 복원하기 위해 사용된다. 잠재적인 파일부터 식별하고, 보통 파일에 헤더(header)가 있다면 헤더로 식별한다. 푸터(footer)를 찾았고 파일이 연속적이라면 단순히 복사하여 붙여 넣기로 파일을 축출할 수 있다. 조각난 파일은 복원하기는 훨씬 더 어렵다.

바이너리와 헥스를 해석할 수 있는 능력이 바로 파일 카빙을 가능하게 한다. 

출처

• 이제 시작이야 디지털 포렌식