파일 카빙 ( File Carving )
파일 카빙 ( File Carving )
metadata 보다는 파일 자체의 바이너리 데이터(content, signature, header, ...)를 이용해 디스크의 비할당 영역에서 파일을 복구하는 기법.
* 파일이 디스크에 분할되어 저장되어 있는 경우, 비연속적 카빙을 사용해야 한다.
http://forensic.korea.ac.kr/DFWIKI/index.php/데이터_복구
| 파일 포멧 | 시그니처 | |
|---|---|---|
| 헤더(Hex) | 푸터(Hex) | |
| JPEG | FF D8 | FF D9 |
| GIF] | 47 49 46 38 37 61 ("GIF87a") | 00 3B |
| 47 49 46 38 39 61 ("GIF89a") | ||
| PNG | 89 50 4E 47 0D 0A 1A 0A | 49 45 4E 44 AE 42 60 82 |
| 25 50 44 46 2D 31 2E ("PDF-1.") | 25 25 45 4F 46 ("%%EOF") | |
| HTML | "<HTML" or "<html" | "</HTML>" or "</html>" |
| "<!DOCTYPE HTML" or "<!doctype html" | ||
| 파일 포멧 | 시그니처 | |
|---|---|---|
| 헤더(Hex) | 푸터(Hex) | |
| BMP | 42 4D ("BM") | - |
| EXE | 4D 5A ("PE") | - |
| DLL | - | |
| 파일 포멧 | 시그니처 | |
|---|---|---|
| 헤더(Hex) | 푸터(Hex) | |
| ZIP | 50 4B 03 04 | 50 4B 05 06 |
| ALZ | 41 4C 5A 01 | 43 4C 5A 02 |
| RAR | 52 61 72 21 1A 07 | 3D 7B 00 40 07 00 |
| Compound | D0 CF 11 E0 A1 B1 1A E1 | - |
'Security > Forensic' 카테고리의 다른 글
| 저장매체 이미징 ( dd ) (0) | 2017.11.01 |
|---|---|
| 클러스터, 섹터, 슬랙 ( Cluster, Sector, Slack ) (0) | 2017.11.01 |
| Volatility (0) | 2017.10.27 |
| Prefetch, Superfetch (0) | 2016.09.07 |
| Windows 악성코드 감염시 처리 프로세스 (0) | 2016.09.07 |