[디지털 포렌식] 디지털 데이터 표현

수 체계, 문자 등은 다른 곳에서도 다루었기 때문에 여기서는 시간 표현, 파일 구조에 대해 다룹니다.

시간 정보의 표현 방식

---

• 디지털 포렌식에서의 시간 정보는 범죄가 발생한 시점을 가늠하는 잣대이므로 매우 중요한 정보
• 현재 협정 세계시는 UTC, 대한민국의 현지 시간Local Time은 UTC+9 Seoul
• 정확한 수사를 위해 시간 정보를 UTC에서 현지 시간으로 변환

MS-DOS Date/Time

• MS-DOS, Windows FAT 파일 시스템에서 사용된 시간 저장 형식
• 컴퓨터의 현재 날짜와 시간Local Time을 각각 2바이트로 저장

FILETIME

• Windows NTFS 파일 시스템에서 사용
• UTC를 사용하기 때문에 현지 시간으로 변환 필요

time_t

• UNIX에서 시간을 저장하는 표준 형식
• 1970년 1월 1일 자정UTC 이후 경과된 초를 저장한 4바이트 숫자

time64_t

• time_t 방식의 오버플로우overflow 문제 해결
• time_t의 정보를 8바이트로 저장

데이터 인코딩

---

• 데이터를 다양한 인코딩 알고리즘에 따라 특수 형태의 데이터로 변환
  • uuencoding
  • Base64
  • Base85
  • URL Encoding

파일

---

• 응용프로그램의 처리 단위
• 디지털 포렌식 주요 대상
• 파일 시스템 내의 파일은 일반적으로 [이름].[확장자] 형태

파일 분석

• 파일의 종류는 확장자extensions와 시그니처signatures로 결정
• 헥스 뷰어(파일 내부 데이터를 16진수 형태로 보여주는 도구)를 이용하여 파일의 구조 파악

파일 내부 구조

• 각 애플리케이션을 데이터를 저장하기 위해 고유한 저장 형식format을 사용
• 파일의 구조
  • 헤더header
    • 파일 시그니처
    • 파일 크기
    • 메타데이터 시작 위치
  • 메타데이터metadata
    • 사용자가 입력한 데이터를 설명하거나 관리하는 데이터
    • 애플리케이션이 자동으로 생성
  • 본문 데이터body data
    • 실제 데이터가 저장되는 영역