파일카빙(winhex활용)

파일카빙?

메타정보를 이용하지않고 파일의 시그니처를 이용하여 복구하는 방식.

 

분석도구 - winhex

 

tools - opendisk

자기 pc의 디스크 이미지뜨기

 

pc의 c드라이브이미지를 분석하기 적절치 않았기 때문에

분석 파일인 rat-d1 파일을 분석함.

브라우징 모드

 

 

partition1, 2로 나뉘어져 있는데 100MB에 윈도우 운영체제와 파일이 모두 들어가 있을수 없으므로

2를 선택한다.

 

 

 

 

free space - 현재는 사용하지 않는 영역을 도구에서 모아서 파일형태로 제공.

                 삭제된 파일 등을 확인할 수 있다.

 

 

RAT-D1, P2

free space

파일카빙을 위해 tools - disk tools - file recovery by type 을 선택함.

 

 

도구에서 가지고있는 파일의 시그니처가 출력된다.

 

 

 

파일카빙을 위해 시그니처 jpeg, png를 선택하고 결과를 저장할 output path지정, 어떤 수준에서 시그니처 매칭을 할지

지정해준다(byte-level이 가장 상세함) 

 

 

파일카빙 결과 - 디스크에서 삭제된 jpeg, png 파일들을 확인할 수 있음.

                     메타정보를 활용하여 데이터가 어느위치에 어느정도 크기인 것을 해석하고 복구한것이

                     아니라 시그니처 기반으로 복구한 것이기 때문에 불완전 하다.

                     사용자가 다운받은 것이아니라 자동으로 수집된 것이 많다.

                     인터넷 광고에서 페이지에서 리소스 로딩된 이미지가 저장된 것도 있기 때문에

                     모든것이 사용자 행위와 연관짓기는 힘듬.