ADS(Alternate Data Stream)와 디지털 포렌식

안녕하세요. 저번 달 DFC(2021)에 ADS를 분석하는 문제가 출제되었더라구요, 덕분에 ADS에 대해서 공부를 해보게 되었습니다. 그래서 이번 포스팅에서는 악성 페이로드를 숨기는 데 자주 사용되는 기술인 ADS에 대해서 알아보겠습니다. 1. ADS(Alternate Data Stream) 개념 ADS는 macOS HFS 파일시스템과의 호환성을 목적으로 처음 생기게 되었으며, 파일에 사용되는 기본 스트림 외에 다른 데이터 스트림을 추가로 저장할 수 있는 NTFS 파일 시스템에서 제공하는 기능입니다. NTFS 파일시스템에서는 파일이 $DATA 속성을 하나 이상 가질 수 있습니다. 하나의 파일에 $DATA 속성이 여러 개 올 수 있다는 의미인데 추가적으로 존재하는 $DATA 속성을 ADS라고 합니다. 위 ..