디지털 포렌식 17

[2024.11.08]

 

[안티 포렌식]

 

> 스테카노그래피

 

> 파일 시그니처

 

- JPEG: FF D8 FF E0, FF D8 FF E8 / FF D9

- GIF: 47 49 46 38 37 61, 47 49 46 38 39 61 / 00 3B

- PNG: 89 50 4E 47 0D 0A 1A 0A / 49 45 4E 44 AE 42 60 82

- PDF: 25 50 44 46 2D 31 2E / 25 25 45 4F 46

- ZIP: 50 4B 03 04 / 50 4B 05 06

- ALZ: 41 4C 5A 01 / 43 4C 5A 02

- RAR: 52 61 72 21 1A 07 / 3D 7B 00 40 07 00

 

 

[디지털 증거를 찾아라]

 

01. 사진을 조사하여 은행과 계좌번호 찾기

 

 

> 은행: YESBANK

> 계좌번호: 123456-77-88-88-99

 

 

나는 현재 이 사진을 통해서만 증거를 찾아야 된다

 

 

그렇기 때문에 먼저 HxD 프로그램으로

해당 이미지 파일을 열게 되면 헥사 값으로 된

이미지의 내용을 파악할 수 있다

현재 앞서 나온 헥사 값에서 FF D8 FF E0로 봤을 때

이 파일 시그니처는 JPEG인 걸 알 수 있다

 

 

파일 시그니처의 시작과 끝부분인

FF D9로 찾기를 진행하여 푸터를 찾아가서 확인한다

푸터를 확인했을 때 푸터 뒤에 바로 은행과 계좌번호가 있는 것을 확인했다

 

 

처음과 끝을 드나들면서 화면과 같이 증거를 찾을 수 있었다

 

 

02. 메모장의 헥사 값으로 이미지 찾기

 

 

현재 메모장을 열어 파일을 열었을 때

이 부분에 해당되는 파일 시그니처를 확인하게 되면 PNG 파일이다

 

 

수많은 ￦' 표시를 없애기 위해

메모장의 편집 -> 바꾸기를 이용하여 찾을 내용에는 ￦'를 입력하고,

바꿀 내용에는 스페이스 바를 이용해 공백을 유지한 다음 모두 바꾸기를 실행한다

 

 

메모장에서 내용이 수정되었다면,

메모장에서 쓸데없는 기호를 제외한 나머지를 HxD로 복사 후 붙여넣기를 진행한다

 

 

그런 다음 HxD에 붙여넣은 내용을 test1이라는 이름으로 저장한다

파일 확장자는 자동으로 png가 지정된다

 

 

test1.png 파일을 열어 확인하게 되면

이런 귀여운 호머 심슨의 이미지를 확인할 수 있다

 

 

03. 이미지의 헥사 값을 아스키 값으로 변경하여 문자 출력

 

 

이번에는 위 이미지에 내포된 문자를 찾아내려고 한다

 

 

해당 이미지를 HxD 프로그램으로 열고,

내리다 보면 위와 같이 다른 곳과는 패턴이 다른 부분을 발견할 수 있다

해당 부분을 복사하여 메모장에 옮긴다

 

 

헥사 값을 8개로 나눠 나열하고, 마지막 부분이 빈다면 FF로 채운다

먼저 8진수로 값을 변환하여 계산하려고 한다

 

 

8진수를 계산했다면 이번에는 8진수에서 해당되는 값을 10진수로 변환한다

 

 

마지막으로 10진수의 값을 ASCII 값으로 변환하게 되면,

현재 BPSEC이라는 문자가 나타나는 것을 확인할 수 있다

따라서 이 이미지에 내포된 문자는 BPSEC이다

 

 

04. 이미지의 헥사 값을 아스키 값으로 변경하여 문자 출력(2)

 

 

이번에도 앞전의 내용과 동일하다

하지만 이번 파일은 강사님께서 직접 만든 파일이라고 하셨다

 

 

이번에도 위와 같은 부분에서 해당되는 부분을 따로 복사하고

 

 

메모장으로 옮겨 값의 변환으로 문자를 확인했을 때

PSELOVE라는 문자가 나왔다

누가 봐도 강사님께서 만드신 파일인 것을 알게 되었다

 

 

05. JPEG 파일로 사진과 동영상 추출

 

 

마지막으로 강사님께서 제공해 주신 JPEG 파일을 HxD로 열었다

이번에는 푸터의 끝에서 처음 시작 부분까지

지정된 부분만 저장하기를 이용하여 YRG1.jpeg로 저장한다

 

 

다음으로는 푸터인 FF D9의 뒷부분부터 마지막 끝부분까지

YRG2.zip으로 확장자를 zip으로 저장한다

 

 

탐색기를 확인하게 되면 YRG1.jpeg 파일과 YRG2.zip이 존재한다

zip 파일의 경우 압축 해제를 진행하면 위와 같이 동영상이 생긴다

 

 

먼저 YRG1의 파일을 열게 되면 이런 화려한 이미지를 확인할 수 있다

 

 

다음으로는 동영상을 재생하여 확인했다

소리와 화면 모두 정상적으로 재생되며,

JPEG 파일로 이미지와 동영상 모두를 추출해냈다

 

 

 

강의 소감

오늘은 지속적으로 안티 포렌식을 진행했다

처음에는 이미지를 통하여 헥사 값으로 미션을 푸는 것을 시작으로

헥사 값으로 추출된 내용으로 이미지를 저장하는 것까지

또 마지막으로 동영상 추출까지 되는 것을 실습으로 배우게 되었다

이렇게 이미지와 문자 하나로 각각 문자와 이미지,

또 증거를 알아낼 수 있다는 점이 매우 흥미롭게 다가왔다

동영상 재생의 경우 단순히 재생만 되는 것이 아니라

소리와 화면 모두 바뀌는 것까지 확인되어 더 신기했다

이런 과정을 통해 디지털 포렌식에 대해 더 알아 가게 되는 것 같다