파일 카빙 ( File Carving )
파일 카빙 ( File Carving )
metadata 보다는 파일 자체의 바이너리 데이터(content, signature, header, …)를 이용해 디스크의 비할당 영역에서 파일을 복구하는 기법. * 파일이 디스크에 분할되어 저장되어 있는 경우, 비연속적 카빙을 사용해야 한다.
http://forensic.korea.ac.kr/DFWIKI/index.php/데이터_복구
| 헤더, 푸터 시그니처를 모두 갖는 파일 포맷 | 파일 포멧 | 시그니처 | |
|---|---|---|---|
| 헤더(Hex) | 푸터(Hex) | ||
| JPEG | FF D8 | FF D9 | |
| GIF ] | 47 49 46 38 37 61 (“GIF87a”) | 00 3B | |
| 47 49 46 38 39 61 (“GIF89a”) | |||
| PNG | 89 50 4E 47 0D 0A 1A 0A | 49 45 4E 44 AE 42 60 82 | |
| 25 50 44 46 2D 31 2E (“PDF-1.”) | 25 25 45 4F 46 (“%%EOF”) | ||
| HTML | “<HTML” or “<html” | ”</HTML>” or “</html>” | |
| ”<!DOCTYPE HTML” or “<!doctype html” |
| 파일 크기 획득 방법을 적용할 수 있는 파일 포맷 | 파일 포멧 | 시그니처 | |
|---|---|---|---|
| 헤더(Hex) | 푸터(Hex) | ||
| BMP | 42 4D (“BM”) | - | |
| EXE | 4D 5A (“PE”) | - | |
| DLL | - |
| 파일 구조 검증 방법을 적용할 수 있는 파일 포맷 | 파일 포멧 | 시그니처 | |
|---|---|---|---|
| 헤더(Hex) | 푸터(Hex) | ||
| ZIP | 50 4B 03 04 | 50 4B 05 06 | |
| ALZ | 41 4C 5A 01 | 43 4C 5A 02 | |
| RAR | 52 61 72 21 1A 07 | 3D 7B 00 40 07 00 | |
| Compound | D0 CF 11 E0 A1 B1 1A E1 | - |
This post is licensed under CC BY 4.0 by the author.