'디지털 포렌식' 태그의 글 목록 (4 Page)

FAT32 파일 시스템 구조FAT(File Allocation Table) 파일 시스템은 Microsoft에서 개발한 파일 시스템으로, 디스크의 파일 할당 정보를 테이블 형태로 관리하는 방식입니다. FAT 파일 시스템은 구조가 단순하여 USB 메모리, SD 카드 등 다양한 저장 장치에서 널리 사용됩니다. FAT의 주요 버전으로는 FAT12, FAT16, FAT32, exFAT 등이 있으며, 이 글에서는 FAT32 파일 시스템에 대해 집중적으로 다룹니다.FAT32 파일 시스템 개요FAT32는 FAT16보다 더욱 복잡한 파일 구조를 가지고 있으며, 파티션의 최대 크기가 32GB로 제한됩니다. FAT32는 크게 예약된 영역(Reserved Area), FAT 영역(File Allocation Table Are..

Digital Forensics/File System 2025. 2. 4. 16:36

ZIP 파일 구조

1. ZIP 파일 개요ZIP 파일은 무손실 데이터 압축 방식을 지원하는 아카이브 파일 형식입니다. 여러 파일과 디렉토리를 하나로 묶고, 크기를 줄여 효율적인 저장과 전송을 가능하게 합니다. ZIP 파일은 주로 Deflate 알고리즘을 사용하며, 다양한 운영 체제에서 널리 사용됩니다.1.1 주요 특징무손실 압축: 데이터 손실 없이 원본 상태 유지다양한 플랫폼 지원: Windows, macOS, Linux 등확장성: 다양한 파일과 메타데이터 저장 가능빠른 압축 및 해제2. ZIP 파일의 구조ZIP 파일은 다음과 같은 주요 구조로 구성됩니다.Local File Header: 각 파일의 기본 정보 포함Central Directory: 파일 메타데이터와 구조 정보 저장End of Central Directory ..

Digital Forensics/File Structure 2025. 1. 27. 12:29

PNG 파일 구조

1. PNG 파일 개요PNG(Portable Network Graphics)는 래스터 그래픽 파일 형식으로, 무손실 데이터 압축을 지원합니다. PNG는 GIF의 특허 문제를 해결하기 위해 개발되었으며, 트루컬러(Truecolor), 알파 채널(Alpha Channel)을 포함한 다양한 색상 옵션을 제공합니다. PNG 파일의 구조는 효율적이고 확장 가능하도록 설계되었습니다.1.1 주요 특징무손실 압축: 데이터 손실 없이 압축 가능다양한 색상 지원: 24비트 RGB, 32비트 RGBA, 그레이스케일 등 지원확장성: 청크(Chunk)를 활용한 유연한 확장2. PNG 파일의 구조2.1 파일 시그니처 (File Signature)PNG 파일은 고정된 8바이트 시그니처로 시작합니다:89 50 4E 47 0D 0A ..

Digital Forensics/File Structure 2025. 1. 27. 10:23

Dreamhack - Basic_Forensics_1

해당 문제는 Dreamhack의 Basic_Forensics_1 문제에 대한 풀이입니다.해당 문제에 대한 설명 이미지 파일안에 Hidden 메세지가 숨어있다. 이 말을 보고 바로 스테가노그래피 문제라고 생각했다.문제 파일을 다운받으니 png 파일이였다.문제 설명에서 이미지 파일에 Hidden 메시지가 숨어 있다는 힌트를 얻었다. 이 말은 스테가노그래피(steganography)와 관련된 문제임을 의미한다.문제 파일을 다운로드한 결과, 파일 형식은 PNG였다.파일 확인확실히 PNG 파일인지 확인하고, 단순히 hidden 값을 파일 안에 넣었는지 검증하기 위해 HxD를 사용해 파일을 열었다.위 사진을 통해 PNG 파일의 헤더 시그니처와 푸터값에 변조가 없음을 확인했다.또한, 문제에서 flag 값이 'DH'로..

CTF/Dreamhack 2025. 1. 24. 16:09

Dreamhack - FFFFAAAATTT

해당 문제는 Dreamhack의 FFFFAAAATTT 문제에 대한 풀이입니다.설치된 문제 파일: 문제를 설치하니 FFFFFFAAAATTT.001 파일이 생성되었습니다. .001 확장자는 RAW 데이터로, 손실 압축 없이 원본 데이터를 저장하는 파일 포맷입니다.FTK Imager로 확인: FTK Imager를 통해 열어본 결과, 파일이 정상적으로 인식되지 않는 것을 알 수 있었습니다. HxD로 확인: HxD로 해당 파일을 열어보니 MBR(Master Boot Record) 영역이 Fix the Disk!!!!로 덮여 있음을 확인했습니다.MBR이란?MBR(Master Boot Record)은 하드 디스크나 USB와 같은 저장 매체의 가장 첫 번째 섹터(512바이트)에 저장된 데이터 구조로, 부팅 프로세스를 ..

CTF/Dreamhack 2025. 1. 24. 13:58

FTK imager로 VMDK 파일을 DD파일로 이미징

FTK Imager로 VMDK 파일을 DD 파일로 이미징하기오늘 사용할 파일은 VMDK 파일로 VMware 가상 머신에서 사용하는 가상 디스크 파일입니다.FTK Imager를 이용하여 DD(디스크 덤프) 파일 형식으로 이미징하는 작업은 디지털 포렌식에서 중요한 과정입니다.이 과정에서 주의할 점, DD 파일로 이미징하는 이유 마지막으로 실습까지 구체적으로 알아보겠습니다.1. FTK Imager를 통한 VMDK 파일 이미징FTK Imager는 포렌식에서 많이 사용되는 툴이며 다양한 디스크 이미징 기능을 제공합니다. VMDK 파일을 DD 파일로 변환하는 과정은 간단하지만 이 과정에서 몇 가지 중요한 점을 고려해야 합니다.주의할 점:무결성: FTK Imager를 사용할 때 가장 중요한 점은 원본 VMDK 파일을..

Digital Forensics/DISK Forensic 2025. 1. 20. 13:20

N0cT1s41

티스토리툴바