삭제 파일 복구 및 파일 카빙 (삭제 원리 및 시그니처)

1. 삭제 파일 원리

파일 삭제 시 **메타데이터(MFT 엔트리 등)**의 할당 정보만 해제하고, 실제 데이터는 덮어쓰기 전까지 그대로 남아있어 복구가 가능합니다.

2. 파일 카빙 (File Carving)

• 정의: 메타데이터가 손상된 경우, 데이터 영역에서 파일의 **고유 헤더 시그니처**를 찾아 내용을 추출해 복구하는 기법입니다.
• 주요 시그니처:
  • ZIP, MS Office: 50 4B 03 04
  • HWP: D0 CF 11 E0 A1 B1 1A E1
  • PDF: 25 50 44 46

3. 확장자 변조 탐지

파일의 실제 시그니처(MIME Type)를 확인하여 파일 확장자가 다를 경우, **확장자 변조 파일**로 의심하고 분석해야 합니다.