[EnCase] 파일 시그너처 분석 (File Signature Analysis) (2)

안녕하세요. 도깬리 입니다.^^

오늘은 시그너처 분석 두번 째 시간 입니다. EnCase의 파일 시그너처 데이터베이스를 파일 타입 (File Types) 테이블이라고 합니다. 파일 타입 테이블의 각 요소에 대해 알아보고 시그너처를 추가하는 등 분석작업에 대해 살펴 봅시다. 

 

파일 유형 (File Types)

[View] -> [File Types]를 선택합니다.

 

파일 타입 테이블의 컬럼 설명

Name

Extensions

Category

Viewer

 

Header Signature

파일 타입과 관련된 헤더를 표시합니다.

키워드 스트링, GREP 표현식, 파일 카빙에 사용됩니다. 시그너처를 너무 짧게 하면 오탐율이 높아집니다.

 

Header GREP

Header Case Sensitive

 

Footer Signature

파일 카빙에 사용됩니다. 하지만 푸터가 없는 파일도 있어요.

 

Footer GREP

Footer Case Sensitive

 

Unique Tag

엔트리에 대한 식별자입니다.

 

Default Length

User Defined

엔트리를 수정하거나 새로 생성하면 ‘T’로 표시됩니다.

 

Disabled

시그너처 분석, 파일 카빙등에서 해당 엔트리를 사용 하지 못하게 합니다.

 

 

시그너처 추가/편집 하기

hwp의 경우 Header Signature와 External Viewer를 추가해주어야 합니다.

 

시그너처 분석 시작하기

디바이스, 볼륨 단위로 시그너처를 분석할 수 있습니다.

[Add Evidence] -> [Process Evidence…]를 선택합니다.

선택된 개체를 대상으로 시그너처를 분석할 수 있습니다.

[Entries] -> [Hash\Sig Selected…]를 선택합니다.

 

시그너처 분석 결과보기

테이블 뷰의 컬럼을 아래와 같이 3중 정렬하여 결과를 보는 것이 분석에 효과적입니다.

제1정렬 : Signature Analysis

제2정렬 : File Type

제3정렬 : Name

 

Signature Analysis 컬럼

Match는 정상적인 파일에 대한 분석결과입니다.

Alias는 확장자 변조를 의심할 만 합니다.

Bad Signature는 악성코드일 가능성이 있습니다.

Unknown는 최근에 등장한 파일의 가능성이 있습니다. File Types 테이블의 업데이트가 필요하겠네요1

 

 

File Type 컬럼

Signature Analysis 결과가 Match, Alias 인 경우에는 File Type 컬럼에 해당 시그너처와 관련된 파일 타입이 표시됩니다.

 

감사합니다. 오늘은 여기까지입니다. 

즐거운 한 주 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)