- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182
* Steganography
- 정의 같은건 가뿐히 생략하고... 실제로 스테가노그래피 데이터가 포렌식 중에 존재할 시, 포렌식 툴 자체로는 탐지가 꽤나 어렵다(추측은 되지만 확정은 안되는 그런 애매모호한 상태)
- 즉, 각 파일의 Signature Hex 값을 확인하면서, 정확히 선별할 수 있는 능력이 필요하다
(물론 현실적으로 모든 파일 유형의 Signature를 외우기란 불가능하다. 그렇기 때문에 아래 방법론을 소개한다)
* Steganography 식별 (예시)
- 우선 파일 Signaturesms SOI (Start Of Image)와 EOI (End Of Image) 두가지로 분류된다.
- 예시로 여기서는 JPEG 파일을 기준으로 설명을 하겠다.
- 즉, 하나의 온전한 JPG 파일을 스테가노그래피에 악용하여 내부에 다른 데이터를 은닉한다는 가정이라면, SOI로 확장자, Signature 훼손이 없는지 확인 후, EOI 부분으로 넘어가서 후미 데이터가 별도로 더 존재하는지 확인 하여야 한다.
- Encase, Autopsy 등의 포렌식 툴은 의심 대상을 좁혀줄 뿐이지, 확정은 지어주지 못하기 때문에 의심 대상에 대해서 HxD로 별도로 로드하여 확인하는 방법이 가장 빠르고 적합하다 (물론 사람은 번거로울 것)
- EOI 검색 후, 파일이 완전히 끝나는 형태가 아닌, 후미에 추가적인 데이터 값이 잔재한다면, Steganography로 강하게 의심할 수 있다.
- 후미 데이터 값을 별도로 복사하여 저장, 확장자에 맞게 파일 저장하여 확인 시 내부 내용 확인도 가능하다.
- 정리하면 Steganography 의심 파일 선별 -> SOI 및 EOI 검색 -> EOI 후미 데이터 확인 -> 존재할 시, 별도 데이터 저장으로 확인
- 단, 위 방식은 단적인 예이며, 내부에 숨겨진 데이터가 영상일지, 음성일지, 이미지일지, 악성 코드일지는 모르기 때문에 주의를 기울이며 확인하여야 한다.
'Information Security > Digital Forensic' 카테고리의 다른 글
| [Digital Forensic] EXIF 정보 확인 (0) | 2024.09.23 |
|---|---|
| [Digital Forensic] USB 연결 흔적 확인 (0) | 2024.09.19 |
| [Digital Forensic] File Signature (0) | 2024.09.06 |
| [Digital Forensic] LNK Parser (1) | 2024.09.04 |
| [Digital Forensic] File System 복구 (0) | 2024.08.30 |
