| 헤더 시그니처 | 푸티지 시그니처 | 확장자 |
|---|---|---|
| FF D8 FF E0 // FF D8 FF E8 | FF D9 | JPEG |
| 47 49 46 38 37 61 // 47 49 46 38 39 61 | 00 3B | GIF |
| 89 50 4E 47 0D 0A 1A 0A | 49 45 4E 44 AE 42 60 82 | PNG |
| 25 50 44 46 2D 31 2E | 25 25 45 4F 46 | |
| 50 4B 03 04 | 50 4B 05 06 | ZIP, DOCX,PPTX, XLSX, |
| D0 CF 11 E0 A1 B1 1A E1 | X(없음) | HWP,DOC,PPT,XLS |
| X(없음) | X(없음) | TXT |
CTF에 자주 나올법한 시그니처들이다. 이건 알아둬야함.
나머지는 Google을 통해서 검색하자
보통 확장자랑 시그니처가 일치되지 않도록 변조되거나, 시그니처의 일부가 변조/왜곡되거나 아예 존재하지 않도록 삭제하는 경우가 있음.
또 다른 경우로 지금 기억나는 건, docx, pptx, xlsx처럼 "압축"파일 포맷과 동일한 경우 zip으로 확장자를 변경해서 열어보면 기존에는 보이지 않았던 숨겨진 파일들도 볼 수 있는 경우가 있었다.
Forensic/Security/IT