와이어샤크(Wireshark) 파일 카빙 기법 / 이미지 복구하기 / HxD사용법

와이어샤크에서 캡쳐된 패킷내에 이미지 파일을 통신한 기록이 남겨졌다

해당 이미지 파일을 복구해보도록 하겠습니다 - 방법은 2가지가 있습니다

[ 방법1 ]

1> 해당 이미지 패킷의 TCP Stream을 모아온다

[ 그림1 ]

아래 그림은 Follow TCP Stream 실행화면입니다

빨간색 부분은 이미지를 요청한 부분이고 파란색 부분은 이미지를 보내서 응답한 부분입니다

[ 그림2 ]

2> 패킷내용을 Raw형식으로 출력하도록 바꿔줍니다

요청부분과 응답부분에서 이미지파일의 내용만 잘라내서 추출해야되기 때문에 Raw형식으로 바꾼다

[ 그림3 ]

3> HxD 헥스 무료 편집기 다운 ( google에서 HxD 검색 )

[ 그림4 ]

4> Raw로 변경한 패킷내용을 HxD파일로 열어보았습니다

[ 그림5 ]

5> 해당 내용을 이미지파일로 저장하면 파일이 깨져있습니다 왜일까요?

여기서는 파일 시그니쳐라는 개념을 알아야 합니다

* 파일 시그니쳐

 - 모든 파일은 해당 파일의 타입을 나타내는 고유의 값을 가지고있음

 - 윈도우 실행파일: .exe -> MZ

 - 윈도우 압축파일: .zip -> PK

 - 윈도우 이미지파일: .jpg -> 0xFF 0xD8 0xFF 0xE0

6> 파일 시그니처를 찾고 그 이전의 요청패킷내용은 모두 지운다

[ 그림6 ]

7> 파일시그니처가 제일 앞에 위치하고 있습니다

이 파일이 이미지 파일이라 윈도우에게 알려 윈도우에서 이미지 파일로 인식한다

[ 그림7 ]

이제 이 파일을 저장하면 깨져있던 이미지 파일이 제대로 복구 되어있음을 확인할 수 있습니다

다음은 두번째 방법입니다 아주 간단한 방법입니다

[ 방법2 ]

1> File - Export Objects - HTTP

HTTP통신에서 사용한 객체들을 보여준다

[ 그림8 ]

2> 해당 패킷을 저장하기만 하면 끝입니다

[ 그림9 ]