파일 시그니처 File Signature

(= 파일 매직 넘버)
파일의 내부 형식을 식별할 수 있게 해주는 고유한 바이트 패턴
운영체제나 분석도구는 파일 시그니처를 기준으로 파일의 형식 판단

헤더 시그니처 Header Signature

• 파일의 가장 첫 부분. 파일 형식을 인식할 때 가장 먼저 참고하는 부분
• 특정한 확장자 명을 가졌다는 것을 알려주는 Hex값
  

이미지 데이터

• 헤더와 푸터 시그니처 사이에 존재하는 Hex값. 실제 파일을 구성하는 정보

푸터 시그니처 Footer Signature (Trailer)

• 파일의 가장 마지막 부분
• 이미지, 문서 등의 포맷에서는 헤더 시그니처와 푸터 시그니처로 파일의 끝 명확히 식별, 푸터 시그니처가 존재하지 않을 수도 있음
• 삭제파일복구/손상파일분석 시, 푸터 시그니처까지 갖춰져 있어야 복구 가능성이 높음
  

파일 시그니처의 활용

파일 임베딩 : 그림 안에 그림 숨기기

• File Embedding. 이미지/오디오...같은 일반 파일에 다른 파일을 몰래 포함시키는 기법.
• 이미지의 모양이나 색을 바꾸는 것이 아닌, 파일의 끝부분이나 특정 구조를 활용해 다른 데이터를 덧붙이는 방식이다.
  -> 대부분의 파일 형식은 파일 끝(푸터 시그니처)에 데이터가 더 붙더라도 무시한다. 때문에, 이미지가 깨지지 않으면서도 다른 파일을 몰래 추가할 수 있다.

실제 범죄에서는 공격자가 악성 실행파일을 .jpg 확장자로 위장해 침투시키는 경우가 많다.

파일 카빙 : 삭제 파일 복구

• File Carving. 분석 대상 디스크 이미지에서 특정 파일 시그니처를 기준으로 시작과 끝을 탐색해 파일을 추출하는 기법. 메타데이터가 없어도 동작.
• foremost, scalpel, photorec 등의 도구 사용

Carving : 디스크/메모리덤프에서 메타데이터 없이 데이터 조각 자체만으로 파일을 복구하는 기법

은닉 파일 탐지

숨겨진 파일을 찾기 위해서는 시그니처가 중간에 반복되는지 확인해야함. jpg인 파일에서 뜬끔없이 50 4B 03 04 라는 zip파일의 시그니처가 발견된다면, 또 다른 파일이 숨어있다는 증거가 된다.

자동 분류 및 증거 필터링

실제 포렌식 도구는 내부 시그니처를 기반으로 문서, 이미지, 실행파일 등으로 자동 분류/필터링
ex) .doc 확장자를 가진 파일들 중 실행파일(4D 5A)인 경우만 걸러내 우선 분석하는 방식

---

자주 보는 파일 시그니처들

PNG

헤더 : 89 50 4E 47 0D 0A 1A 0A (P N G)
푸터 : 49 45 4E 44 AE 42 60 82 (I E N D)

JPEG

헤더 : FF D8 FF E0 (J F I F)
푸터 : FF D9

PDF

헤더 : 25 50 44 46 (% P D F)
푸터 : 25 25 45 4F 46 (% % E O F)

ZIP, 문서(DOCX, XLSX, PPTX)

헤더 : 50 4B 03 04 (P K)
푸터 : 50 4B 05 06 or 50 4B 06 06

---

https://filesig.search.org/
https://en.wikipedia.org/wiki/List_of_file_signatures