Network 패킷분석(파일카빙)

와이어샤크에서 패킷을 분석하고 파일카빙을 해보도록 하겠습니다.

파일 카빙(Carving)은 저장 매체에 저장된(하드디스크/패킷파일 등) 바이너리 데이터로부터 파일의 고유한 시그니처, 구조체, 헤더 정보등을 확인하여 파일을 복구하는 방법입니다. 

와이어샤크로 캡쳐된 파일하나를 조사해보겠습니다.

GET메소드를 필터링해보았습니다.  .jpg파일을 얻어왔는데 TCP stream으로 확인해보겠습니다.

ASCII코드로 되어있는데 Raw형식으로 바꿔서 헥사에디터에서 따로 요청부분과 응답부분을 잘라내주어야만 합니다.

헥사 에디터는 구글에서 HxD만 검색해도 다운로드 받을수있습니다. 확인해보면 JFIF 즉 

0xFF 0xD8 0xFF 0xE0로 jpg 이미지 파일인걸 알수가 있습니다.

이런걸 시그니처(Signature)라고 하는데 각 파일 구분하기 위해 데이터의 여러 위치에 시그니처 정보가 있습니다.

데이터 가장 앞에 있는 시그니처를 헤더 시그니처라고 하며 데이터 마지막에 있는 시그니처를 푸터/트레일러 시그니처라고 합니다. 파일이 깨져있을 경우 이 시그니처만 깨져있지았다면 파일을 복구할수가 있습니다.

위의 사진의 jpg 시그니처 윗부분을 모두 지우고 다시 저장하겠습니다. 꼭 확장자명은 뒤에 .jpg를 붙여줘야만 합니다.

깨져있는 파일이 정상적인 이미지 파일로 변한걸 확인할수있습니다. 이걸 파일카빙이라고 합니다.

제일 쉬운 방법은 와이어샤크에 Export Object기능을 사용하면 바로 이미지를 확인해볼수있습니다.

파일 시그니처 중에 중요한것 몇가지만 알아보겠습니다.

Header Signature(HEX)	File Type
0x4D 0x5A (실행파일)	.exe -> MZ
0x50 0x4B 0x4C 0x49 0x54 0x45 (압축파일)	.zip -> PK
0xFF 0xD8 0xFF 0xE0  (이미지파일)	.jpg -> JFIF
0x52 0x49 0x46 0x46 (영상파일)	.avi
0x49 0x44 0x33 (음악파일)	.mp3