파일 확장자, 파일 시그니처

Computer/DIGITAL FORENSICS 2014. 7. 18. 20:25

파일은 연속적인 비트와 바이트로 이루어져 있다. 파일을 식별하는 방법은 두 가지가 있다.

가장 일반적인 방법은 파일 확장자를 활용하는 것이다.

파일 확장자는 파일 이름 맨 뒤에 붙는 것으로 파일의 형식을 표시한다.

예로 .txt와 .png 등이 있다.

파일 확장자는 파일의 종류를 안정적으로 식별할 수 있는 방법은 아니다. 왜냐하면 파일의 확장자는 단 한 번의 마우스 클릭과 타이핑 몇 번으로 바꾸는 것이 가능하기 때문이다.

혹자는 이런 방법으로 데이터를 숨기는 데 사용하기도 하지만 포렌식에서는 효과적인 방법이 아니다. 왜냐하면 포렌식 툴은 파일 확장자가 아닌 파일의 헤더로 파일을 식별하기 때문이다.

많은 툴들이 헤더와 확장자의 불일치한 파일을 찾아 분석할 수 있도록 한다.

이러한 비교 방법을 시그니처 분석이라고 한다.

파일 확장자를 바꾸면 아이콘도 바뀐다.

하지만 JAVA.png 파일을 살펴보면 word 문서라는 것을 알 수 있다.

http://commania.co.kr/53

출처

개의 블로그 개의 블로그