FORENSICS 시작하기 - 기초 개념 03 :: 파일 시그니처

1. 파일 시그니처란?

 

파일 시그니처 (file signature) (= file magic number)

 

: 파일 형식마다 가지고 있는 고유의 특징, 즉 포맷에 대한 정보이다.

즉, 파일의 형식마다 정해져 있는 특정한 byte 들 이다.

 

파일의 처음에만 존재하는 파일 포맷도 있고, 마지막에 존재하는 파일 포맷도 있다.

파일의 처음에 있는 시그니처는 헤더(Header) 시그니처,

파일의 마지막에 있는 시그니처는 푸터(Footer or Tailer) 시그니처 라고 한다.

 

만약 헤더와 푸터 시그니처가 다른 형식일 경우, 파일에 문제가 있거나 조작된 파일일 가능성이 있다.

 

HxD 프로그램으로 쉽게 확인할 수 있다.

 

File Type	Header Signature (Hex)	Footer Signature (Hex)
JPEG	FF D8 FF E0 FF D8 FF E8	FF D9
GIF	47 49 46 38 37 61 47 49 46 38 39 61	00 3B
PNG	89 50 4E 47 0D 0A 1A 0A	49 45 4E 44 AE 42 60 82
PDF	25 50 44 46 2D 31 2E	25 25 45 4F 46
ZIP	50 4B 03 04	50 4B 05 06
ALX	41 4C 5A 01	43 4C 5A 02
RAR	52 61 72 21 1A 07	3D 7B 00 40 07 00

 

더 많은 파일 시그니처는

-> https://en.wikipedia.org/wiki/List_of_file_signatures

-> https://www.garykessler.net/library/file_sigs.html

 

 

 

2. 파일 시그니처 확인 방법

 

HxD 로 위의 표에 있는 16진수들을 검색하면 파일 시그니처를 확인할 수 있다.

 

 

일단 이 파일은 jpeg 파일이라 FF D8 로 시작한다.

 

Ctrl+f 를 눌러서 검색 기능을 활용해서 다른 파일 형식이 숨어있는지 확인할 수 있다.

 

 

검색 방식을 16진수 값으로 바꿔주고, 위의 파일 시그니처들을 검색해준다.

 

 

해당 시그니처가 있으면 이렇게 찾을 수 있다.