- NEW초롱이의 하루
- kisa
- 길은 가면, 뒤에 있다
- C언어 예술가
- Zer0 day - Zer0 day
- Information Security
- Secure-EDU
- 앙큼한유채's 일상 Story
- Library of Ezbeat (잠정 폐쇄)
- The Factory
- 안드
- 모후모후의 커뮤니티
- 공학도의 잡다한 시선
- 안드2
- IT속에 코코아
- IP주소검색(whois)
- IP주소검색(좌표포함)
- 소프트웨어 경력 관리
- 해저 케이블 지도
- MAC주소검색
- IANA
- 포트번호검색
- 자신의IP확인
- 웹페이퍼캡처
- 나의패스워드보안등급
- 웹 취약점 분석
- IT용어정리
- GitHub
- 라이브러리 모음
- 웹마당넷
- 시스템콜참고
- BCD 변환
- 보안뉴스
- 코딩도장(C, Python)
- 백준알고리즘
- 코딩테스트 연습
- 웹 사이트 테스트
- 스크립트꾸미기
- ctf대회목록
- 전자신문
- hash 크랙
- CVE
- 도메인등록
- N클라우드
- BugBountyList
- 칼리공식사이트
- CR4FTING BOX
- 아스키코드 변환
- 웹 사이트 통계 및 평가
- PDF변환
- AWS 및 클라우드 정보
- 가상화 및 서버관련
- 티오리
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- RaspberryPi
- 그라파나
- 메소드
- 쉘 스크립트 if문
- ACL
- docker
- LEVIATHAN
- Shell script
- GUI
- 라즈베리파이
- 자바
- JSP
- nginx
- 쉘 스크립트
- 네트워크
- Tkinter
- Python
- 리눅스
- Linux
- API
- 안드로이드
- GPIO
- 쉘 스크립트 기초
- 클라우드
- synology
- Android
- System
- centos docker
- Java
- 프로젝트
- Today
- Total
IT창고
Network 패킷분석(파일카빙) 본문
와이어샤크에서 패킷을 분석하고 파일카빙을 해보도록 하겠습니다.
파일 카빙(Carving)은 저장 매체에 저장된(하드디스크/패킷파일 등) 바이너리 데이터로부터 파일의 고유한 시그니처, 구조체, 헤더 정보등을 확인하여 파일을 복구하는 방법입니다.
와이어샤크로 캡쳐된 파일하나를 조사해보겠습니다.
GET메소드를 필터링해보았습니다. .jpg파일을 얻어왔는데 TCP stream으로 확인해보겠습니다.
ASCII코드로 되어있는데 Raw형식으로 바꿔서 헥사에디터에서 따로 요청부분과 응답부분을 잘라내주어야만 합니다.
헥사 에디터는 구글에서 HxD만 검색해도 다운로드 받을수있습니다. 확인해보면 JFIF 즉
0xFF 0xD8 0xFF 0xE0로 jpg 이미지 파일인걸 알수가 있습니다.
이런걸 시그니처(Signature)라고 하는데 각 파일 구분하기 위해 데이터의 여러 위치에 시그니처 정보가 있습니다.
데이터 가장 앞에 있는 시그니처를 헤더 시그니처라고 하며 데이터 마지막에 있는 시그니처를 푸터/트레일러 시그니처라고 합니다. 파일이 깨져있을 경우 이 시그니처만 깨져있지았다면 파일을 복구할수가 있습니다.
위의 사진의 jpg 시그니처 윗부분을 모두 지우고 다시 저장하겠습니다. 꼭 확장자명은 뒤에 .jpg를 붙여줘야만 합니다.
깨져있는 파일이 정상적인 이미지 파일로 변한걸 확인할수있습니다. 이걸 파일카빙이라고 합니다.
제일 쉬운 방법은 와이어샤크에 Export Object기능을 사용하면 바로 이미지를 확인해볼수있습니다.
파일 시그니처 중에 중요한것 몇가지만 알아보겠습니다.
Header Signature(HEX) |
File Type |
0x4D 0x5A (실행파일) |
.exe -> MZ |
0x50 0x4B 0x4C 0x49 0x54 0x45 (압축파일) |
.zip -> PK |
0xFF 0xD8 0xFF 0xE0 (이미지파일) |
.jpg -> JFIF |
0x52 0x49 0x46 0x46 (영상파일) |
.avi |
0x49 0x44 0x33 (음악파일) |
.mp3 |
'보안 > Network' 카테고리의 다른 글
Network 패킷 포렌식(1) (0) | 2018.05.09 |
---|---|
Network 스테가노그래피 (0) | 2018.05.08 |
Network HTTP header (0) | 2018.04.26 |
Network HTTP (0) | 2018.04.25 |
Network FTP 패스워드 크랙 (0) | 2018.04.23 |