이미지 파일, 오디오 파일, 비디오 파일, 압축 파일, 윈도우 시스템/환경 파일, 글꼴 파일” 등으로 분류가 가능하며, 각 유형별 파일의 형식와 설명, 시그니처는 다음과 같다.
(1) 문서 파일 형식
형 식
확장자 설명
헤더 내 시그니처(Hex)
.doc
마이크로소프트 워드(97~2003) 파일
D0 CF 11 E0 A1 B1 1A E1
.docx
마이크로소프트 워드(2007~) 파일
50 4B 03 04 14 00 06 00
.xls
마이크로소프트 엑셀(97~2003) 파일
D0 CF 11 E0 A1 B1 1A E1
.xlsx
마이크로소프트 엑셀(2007~) 파일
50 4B 03 04 14 00 06 00
.ppt
마이크로소프트 파워포인트(97~2003) 파일
D0 CF 11 E0 A1 B1 1A E1
.pptx
마이크로소프트 파워포인트(2007~) 파일
50 4B 03 04 14 00 06 00
.hwp
아래아한글 파일
D0 CF 11 E0 A1 B1 1A E1
.pdf
어도비 아크로벳 파일
25 50 44 46
(2) 이미지 파일 형식
형 식
확장자 설명
헤더 내 시그니처(Hex)
.bmp
윈도우 또는 OS/2의 비트맵 그래픽 파일
42 4D
.jpg
JPEG 비트맵 그래픽 파일
FF D8 FF E0 xx xx 4A 46
.gif
컴퓨서브 그래픽 파일
47 49 46 38 37 61
.png
Portable Network Graphics 비트맵 그래픽 파일
89 50 4E 47 0D 0A 1A 0A
.psd
어도비 포토샵 비트맵 파일
38 42 50 53
.pcx
ZSoft PC 페인트브로쉬 비트맵 파일
0A nn 01 01
.tif
Tag Image File Format 비트맵 파일
49 49 2A
.pic
매킨토시 PICT drawing
00 00 00 02
(3) 오디오 파일 형식
형 식
확장자 설명
헤더 내 시그니처(Hex)
.wav
윈도우 웨이브 파일
57 41 56 45 66 6D 74 20
.wma
마이크로소프트 Windows Media 오디오 파일
30 26 B2 75 8E 66 CF 11
.mid
미디 음악 파일
4D 54 68 64
.mp3
MPEG Audio Layer 3 로 압축된 음악 파일
49 44 33
.ogg
Vorbis, Vorbis 오디오 파일
4F 67 67 53 00 02 00 00
.flac
무손실 압축 오디오 파일
66 4C 61 43 00 00 00 22
(4) 비디오 파일 형식
형 식
확장자 설명
헤더 내 시그니처(Hex)
.avi
윈도우즈 무비를 위한 마이크로소프트 오디오 및 비디오 파일
41 56 49 20 4C 49 53 54
.wmv
마이크로소프트, 윈도우 미디어 파일
A6 D9 00 AA 00 62 CE 6C
.mpg
MPEG 동영상 파일
00 00 01 BX
.asf
마이크로소프트 Advanced Streaming Format 파일
30 26 B2 75 8E 66 CF 11
.mov
QuickTime for Windows 무비 파일
6D 6F 6F 76
.mp4
MPEG-4 비디오 파일
00 00 00 18 66 74 79 70
33 67 70 35
.ram
리얼오디오 메타 파일
72 74 73 70 3A 2F 2F
.swf
쇽웨이브 플래시 객체
43 57 53
(5) 압축 파일 형식
형 식
확장자 설명
헤더 내 시그니처(Hex)
.zip
Zip 압축 파일
57 69 6E 5A 69 70
.7z
7-Zip 압축파일
37 7A BC AF 27 1C
.rar
RAR 압축 파일
52 61 72 21 1A 07 00
.alz
이스트소프트 - 알집, 압축 파일
41 4C 5A 01
.tar
테이프 아카이브 파일
75 73 74 61 72
(6) 윈도우 시스템/환경 파일 형식
형 식
확장자 설명
헤더 내 시그니처(Hex)
.exe
실행 파일
4D 5A
.bat
MS-DOS 일괄처리 파일
52 45 4D 20 44 75 6D 6D
.com
MS-DOS용 실행 파일
4D 5A
.lnk
윈도우 바로가기 파일
4C 00 00 00
.ico
아이콘 파일
00 00 01 00
.bin
바이너리 파일
42 4C 49 32 32 33 51
.dat
데이터 파일
43 52 45 47
.reg
윈도우 레지스트리 파일
52 45 47 45 44 49 54
.sys
시스템 파일
4D 5A
.dll
Dynamic Link Library 파일
4D 5A
.ocx
마이크로소프트 OLE custom control
4D 5A
.drv
드라이버 파일
4D 5A
.cpl
윈도우 제어판 파일
4D 5A
.scr
화면보호기 파일
4D 5A
(7) 글꼴 파일 형식
형 식
확장자 설명
헤더 내 시그니처(Hex)
.fon
시스템 글꼴 파일
4D 5A
제3절 파일 시그니처와 포렌식
1. 파일 시그니처의 포렌식적 의미
포렌식 조사 과정에서 디지털 저장매체상의 파일을 분석하기 위해서는 해당 파일의 내부 구조에 대한 이해가 필요하다. 이는 분석 대상이 되는 응용프로그램에서 사용하는 자신만의 형식과 포맷의 이해를 뜻하며, 단순한 확장자 변경을 통해 은닉한 파일의 탐지에 활용될 수 있다.
다음은 단순하게 파일 확장자 이름을 변경 시(jpg -> txt), 사용자에게 보여지는 파일 형식은 변하는 것을 확인할 수 있지만, 두 파일에 대한 시그니처 분석을 통해 동일한 파일임을 확인이 가능하다.
제3장 결 론
본 과제를 통해 파일의 자주 사용하는 50개 파일의 헤더내 시그니처 정보를 확인하였으며, 이를 통해 디지털 저장매체상의 파일을 어떻게 식별해 내는지에 대해 살펴보았다.
파일 시그니처는 포렌식 조사 과정에서 특정 파일의 포맷 분석, 파일 복구 등에 있어 중요하게 작용한다. 따라서, 파일 시그니처에 대한 지속적인 연구과 분석이 필요하다.
<참고자료>
1. 파일 시그니처 모음(http://forensic-proof.com/archives/300)
2. File Signatures(http://www.garykessler.net/library/file_sigs.html)
3. 파일 확장자 목록(http://www.terms.co.kr/filename-extensions.htm)