Post

파일 카빙 ( File Carving )

파일 카빙 ( File Carving )

metadata 보다는 파일 자체의 바이너리 데이터(content, signature, header, …)를 이용해 디스크의 비할당 영역에서 파일을 복구하는 기법. * 파일이 디스크에 분할되어 저장되어 있는 경우, 비연속적 카빙을 사용해야 한다.

http://forensic.korea.ac.kr/DFWIKI/index.php/데이터_복구

헤더, 푸터 시그니처를 모두 갖는 파일 포맷파일 포멧시그니처 
 헤더(Hex)푸터(Hex) 
 JPEGFF D8FF D9
 GIF ]47 49 46 38 37 61 (“GIF87a”)00 3B
 47 49 46 38 39 61 (“GIF89a”)  
 PNG89 50 4E 47 0D 0A 1A 0A49 45 4E 44 AE 42 60 82
 PDF25 50 44 46 2D 31 2E (“PDF-1.”)25 25 45 4F 46 (“%%EOF”)
 HTML“<HTML” or “<html””</HTML>” or “</html>”
 ”<!DOCTYPE HTML” or “<!doctype html”  
파일 크기 획득 방법을 적용할 수 있는 파일 포맷파일 포멧시그니처 
 헤더(Hex)푸터(Hex) 
 BMP42 4D (“BM”)-
 EXE4D 5A (“PE”)-
 DLL- 
파일 구조 검증 방법을 적용할 수 있는 파일 포맷파일 포멧시그니처 
 헤더(Hex)푸터(Hex) 
 ZIP50 4B 03 0450 4B 05 06
 ALZ41 4C 5A 0143 4C 5A 02
 RAR52 61 72 21 1A 073D 7B 00 40 07 00
 CompoundD0 CF 11 E0 A1 B1 1A E1-
This post is licensed under CC BY 4.0 by the author.