CDFFA는 고려대학교 정보보호대학원 디지털포렌식 연구센터에서 제작한 유틸리티이다. 최신 버전은 1.0이고, 본 항에서는 최신버전인 1.0을 기반으로 보고서를 작성하였다.

소개[편집]

CDFFA는 Windows에서 동작하는 유틸리티이다. 문서 파일뿐만 아니라 컴파운드 포맷의 파일은 모두 지원한다.

사용법[편집]

CDFFA을 실행하면 [그림 1]와 같다. 입력한 컴파운드 파일에 대해 전체적인 구조를 트리구조로 볼 수 있고, 그 트리 구조의 내용을 클릭하면 해당 되는 내용의 헥사 값과 파싱된 정보를 확인 할 수 있다.

[그림 1] CDFFA 실행 화면

도구 기능[편집]

유틸리티를 실행하면 [그림 2]와 같이 분석하고자 하는 컴파운드 파일을 입력해야한다.

[그림 2] 파일 입력 메뉴

컴파운드 파일을 유틸리티에 입력하면 그 즉시 해당 파일의 트리구조, Hex, 파싱 정보가 화면에 출력된다. [그림 3]은 스티커 메모 파일을 입력 했을 때의 화면이고, [그림 4]은 한글 문서를 입력 했을 때의 화면이고, [그림 5]는 점프 리스트 파일을 입력 했을 때의 화면이다.

[그림 3] 스티커 메모 파일 입력 화면

[그림 4] 한글 문서 입력 화면

[그림 5] 점프 리스트 파일 입력 화면

화면 하단에 보이는 파싱 정보 중에 원하는 정보를 더블 클릭하면 [그림 6]와 같이 위의 Hex화면에 해당 영역이 표시가 된다.

[그림 6] 선택한 파싱 정보가 Hex화면에 표시된 화면

그리고 Hex 화면에서 마우스 오른쪽 버튼을 클릭하면 [그림 7]와 같이 선택 할 수 있는 메뉴가 생성된다. Hex 값을 복사, 모두 선택이 가능하고, 복사 혹은 선택한 후 다른 곳에 붙여넣기가 가능하다.

[그림 7] 선택 메뉴

트리 구조에서 Root Entry부분과 Unused Area 영역을 마우스 오른쪽 버튼을 클릭하면 [그림 8]와 같이 해당 영역을 저장 할 수 있다.

[그림 8] 영역 저장하는 화면

제한사항[편집]

Hex를 직접 사용자가 편집할 수 있는 기능은 제공하고 있지 않다. 그리고 Microsoft Office 최신 버전의 docx, pptx, xlsx에 대해서는 지원하고 있지 않다.

수사 활용 방안[편집]

모든 컴파운드 파일은 입력을 받아 화면에 정상적으로 출력해주기 때문에 컴파운드 파일 분석 시에는 해당 유틸리티는 유용하게 이용 될 수 있다. 또한 구조를 트리 구조로 일목요연하게 보여주기 때문에 파일에 이상한 값이 들어 있는지, 변조되었는지 등의 분석을 할 수 있다.