파일의 시그니처(Signature)는
매직 넘버(Magic Number) 또는 매직 바이트(Magic Bytes)라고도 하는데.
매직 넘버는 파일 유형을 고유하게 식별하는 파일의 첫 번째 비트다.
푸터는 파일의 마지막에 위치하는 고유 식별 비트다.
파일 유형을 식별하기 위해 복잡한 파일 구조를 검색할 필요가 없으므로 코딩을 더 쉽게 만들어주기도 하고
가장 중요한 기능은
몇가지 파일을 제외하고는 매직 바이트는 옵셋 0에 위치하여 처음의 2~4바이트를 차지한다.
예를 들어 jpeg 파일은 ffd8로 시작한다.
ffe0 0010 4a46 4946 0001 0101 0047 ......JFIF.....G ffd8은 해당 파일이 JPEG 파일임을 나타낸다.
모든 파일들에 대한 시그니처 리스트는 아래 위키피디아 링크를 참고하길 바란다.
https://en.wikipedia.org/wiki/List_of_file_signatures
List of file signatures - Wikipedia
From Wikipedia, the free encyclopedia This is a list of file signatures, data used to identify or verify the content of a file. Such signatures are also known as magic numbers or Magic Bytes. Many file formats are not intended to be read as text. If such a
en.wikipedia.org
PNG 형식의 이미지 파일의 시그니처는 89 50 4E 47 0D 0A 1A 0A 이고, 푸터는 49 45 4E 44다.
참고로, JPG 형식의 이미지 파일의 시그니처는 FF D8 FF이고 Footer는 FF D9,
GIF 파일의 시그니처는 00 00 3B이고, Footer는 47 49 46 38 39 61 이다.
Hex 편집기로 임의의 PNG 파일을 열어보면 아래 그림과 같이 00000000 옵셋에서 00~07까지 PNG의 시그니처를 가지고 있는 결과가 나온다.
MS Office 파일의 PPT는 A0 46 1D F0의 시그니처를 갖고
한글파일 HWP는 D0 CF 11 E0 A1 B1 1A E1 시그니처를 갖는데 이 시그니처값은 DOC, XLS 등의 다른 여러
파일들과 같은 값을 공유한다.
아무리 숨겨도 시간이 걸릴 뿐
결국 모두 찾아진다.
'디지털포렌식(Digital forensic)' 카테고리의 다른 글
| Windows 11의 휴지통에 대한 디지털 포렌식 (3) | 2023.11.09 |
|---|---|
| 16진수 Hex 편집기 HxD (0) | 2023.11.09 |
| Web에서 Hash 값 보기 (0) | 2023.11.07 |
| [파일] 해시값, Python으로 만드는 코드 (0) | 2023.11.07 |
| 디지털 포렌식 수사에서 "해시값(hash values)" (1) | 2023.11.06 |
