[문서 파일] CFBF와 OOXML

 

CFBF (Compound File Binary Format)

CFBF는 바이너리 파일 형식으로, 주로 이전 버전의 마이크로소프트 오피스 문서와 한글 문서(예: .doc, .xls, .ppt, hwp)에 사용됩니다. 이 형식은 여러 부분으로 나누어진 복합 문서를 저장하기 위한 것이며, 파일 내부에 OLE (Object Linking and Embedding) 개체를 포함할 수 있습니다. CFBF는 파일 시스템과 비슷한 구조를 가지며, 섹터로 구분된 데이터 스트림을 사용하여 데이터를 저장합니다.

OLE 파일 시그니처

OLE 파일 시그니처는 D0 CF 입니다.

스트림 확인은 OLEdmp 라이브러리 이용하여 확인 하면됩니다. - OLEdmp에서 읽을수 없으면 대부분 OOXML 이라고 생각 하면됨

OLEdmp는 OLETools라고 알려진 일련의 오픈 소스 도구 중 하나입니다.  주로 OLE (Object Linking and Embedding) 구조와 관련된 파일 형식을 분석하고, 해당 파일 내부의 객체와 데이터를 추출하는 데 사용됩니다. OLE는 주로 마이크로소프트의 파일 형식 중 하나인 COM 구조와 함께 사용되며, 주로 문서와 같은 리소스를 다른 문서나 응용 프로그램에 삽입하거나 연결하는 데 사용됩니다.

OLE 파일 분석: OLEdmp는 주로 OLE 파일 형식을 분석하는 데 사용됩니다. 이 형식은 주로 마이크로소프트의 Office 문서 와 한글 문서 (ex:.doc, .xls, .ppt, .hwp)와 관련이 있습니다.

객체 및 데이터 추출: 이 도구는 OLE 파일 내부의 객체와 데이터를 추출하는 데 사용됩니다. 이로써 OLE 파일에 포함된 객체를 개별적으로 살펴보거나 복구할 수 있습니다.

 

디버깅 및 보안 분석: OLEdmp는 악성 문서나 악성 코드를 분석할 때 사용하는 도구입니다. OLE 파일에서 악성 행위나 취약점을 찾는 데 도움을 줄 수 있습니다.

 

OOXML (Office Open XML)

OOXML은 마이크로소프트 오피스 2007 버전 이상의 파일 형식에 사용됩니다. 이 형식은 개방형 표준으로, 문서, 스프레드시트 및 프레젠테이션을 저장하는 데 사용됩니다. OOXML 문서는 일반적으로 .docx (Word), .xlsx (Excel), .pptx (PowerPoint) hwpx등의 확장자로 알려져 있습니다. OOXML 파일은 일반적으로 ZIP 압축을 사용하며 XML 기반의 표준 구조를 갖고 있습니다.

OOXML 시그니처

OOXML 시그니처는 50 4B 03 04 14 00 06 00 입니다.

분석시  zip/unzip을 이용해서 보면 됩니다.

 

 

hwp 파일 포맷 : https://www.hancom.com/etc/hwpDownload.do

글로벌 소프트웨어의 리더, 한글과컴퓨터