Structured Storage View (SSView)
소개[편집]
Structured Storage View(이하 SSView)은 MiTeC에서 무료로 제공하는 유틸리티이다. SSView를 실행하면 [그림 1]와 같다.
파일을 직접 SSView에 입력을 하면, 메뉴가 추가적으로 더 생성이 되는데, 메뉴를 클릭해서 입력한 문서의 내부구조와 정보를 알 수 있다. 기본적으로 Microsoft Office 문서를 지원을 하는데 97 ~ 2003버전인 doc, ppt, xls에 대해서만 지원하고 있다.
사용법[편집]
첫 실행 화면에서 File 메뉴를 클릭하여 입력할 문서를 불러들여야 한다. [그림 2]는 doc를, [그림 3]는 ppt를 [그림 4]는 xls를 입력한 화면이다. 화면의 왼쪽에는 문서의 트리구조를 나타내는 카테고리로 구성되어 있고, 화면의 오른쪽에는 해당 카테고리를 선택 했을 때 정보가 출력되는 화면이다.
각각의 문서가 입력된 화면을 보면 문서에 대해 보여주는 정보가 조금씩 차이가 있음을 알 수 있다. 공통적으로는 Document Summary Information, Summary Information에 대한 정보는 출력된다.
도구 기능[편집]
문서를 입력하면 메뉴 창에는 SSView를 처음 실행했을 때 보이던 메뉴에서 추가적으로 Element, PropertySet, Decoders 메뉴가 생성된다. File 메뉴에는 문서를 입력하고 닫고, Refresh, 프로그램을 종료 기능이 있다. Element 메뉴에는 [그림 5]와 같이 문서의 트리구조에서 선택한 카테고리를 추가하거나 삭제, 이름변경 등 편집할 수 있다.
PropertySet은 화면의 왼쪽 카테고리 중에 Document Summary Information 또는 Summary Information을 클릭하면 오른쪽 화면에 보여주는 정보들을 말한다. [그림 6]와 같이 PropertySet에는 ID, Name, Type, Value 정보가 있다.
여기에 있는 정보를 삭제, 추가, 수정 등의 편집이 가능하다. Decoders 메뉴에는 [그림 7]와 같이 ZLib codec을 선택할지 안할지를 설정하는 기능이 있다.
ZLib codec를 선택하고 싶으면 별다른 설정 없이 ZLib codec 메뉴를 클릭하면 된다. Windows 메뉴에는 출력되는 화면의 타입을 바꾸어주는 기능이다. [그림 8]와 같이 Cascade, Tile Horizontally, Tile Vertically 중 1가지를 선택 할 수 있다.
Document Summary Information, Summary Information 아래에 있는 카테고리는 각각의 문서에 대한 구조, 예를 들어 Table영역이나 Data영역 등을 나타낸다. [그림 9]은 doc파일의 예이다. 카테고리를 클릭하면 그 내용을 출력해주는 화면을 Hex, Text, Picture, RTF, HTML을 선택 할 수 있다. 카테고리의 특성상 위의 화면 출력 방법을 선택해도 제대로 동작하지 않는 경우도 있다. 그리고 화면 하단에는 General, Checksums에 대한 정보고 출력된다.
살펴보고자 하는 카테고리를 클릭하면서 내용을 분석 및 확인 할 수 있다.
제한사항[편집]
Microsoft Office 최신 버전의 docx, pptx, xlsx에 대해서는 지원하고 있지 않다. 오래된 버전인 2007 ~ 2003버전인 doc, ppt, xls에 대해서만 지원하고 있다. 그리고 Decoder의 기능이 정확히 어디에 어떻게 동작하는지에 대한 내용이 없다. 또한 카테고리 출력 화면 중에 Picture, RTF는 입력된 3개의 문서에서 모두 동작하지 않는다.
수사 활용 방안[편집]
입력한 문서의 구조가 변화되었는지를 한눈에 쉽게 알아낼 수 있다. 또한 이상한 값이 문서에 삽입이 되었는지, 의도적인 변경이 있었는지도 알 수 있어서 조작된 문서를 분석하는 경우, 도움이 될 것으로 보인다.
