인사이드 윈도우즈 포렌식 : 디지털 해킹 분석 및 대응의 기술

인사이드 윈도우즈 포렌식 : 디지털 해킹 분석 및 대응의 기술
나의 실생활에서 전혀 이로움은 없지만..
그냥 예전부터 관심을 갖고 있었던 분야. 바로 포렌식..

국내 포렌식 관련 전문 서적은 거의 없는 상황에서..
Windows Forensic Analysis, DVD toolkit 2nd edition 이 번역되었다.

일단 고민없이 구매!

근데.. 한글 번역판이라 하더라도..
나에겐 까만건 글씨고, 하얀건 종이로구나..-_-;;
나는 언제쯤 이런 책을 잘 이해할 수 있을까?

아마존닷컴의 보안 분야 1위의 베스트셀러!
“디지털 침해사고 분석 및 대응과 사이버 범죄 조사의 비밀”


이버 범죄는 점점 교묘해지고 조사자들은 어떤 흔적들이 시스템에서 이용가능한지, 또한 어떻게 그런 흔적들이 만들어지고 수정되는지를
이해하는 것이 필요하다. 윈도우즈 시스템의 실시간 조사 및 사후 조사 중에 데이터를 수집하고 분석하는 기술적인 측면들을 알려주는 이
책은 포괄적인 조사와 분석을 위해 윈도우즈 시스템에 존재하는 가능성과 기회들을 일깨울 수 있도록 도움을 주고 있다.


시간 및 사후 대응 수집과 분석 방법론을 분석하고 있으며, 실시간 및 사후 조사 동안에 데이터를 분석하기 위한 방법을 학습하도록
안내한다. 부록으로 자체 제작 도구, 개량된 코드 그리고 스프레드시트를 CD에 제공한다. 동작중인 윈도우즈 시스템과 수집한
이미지의 분석을 위해 어떤 정보가 조사자에게 이용 가능한지를 설명하고 있으며, 추가적인 흔적들에 대한 위치를 찾아내고, 사고의
더욱 완전한 그림을 만들어 내기 위한 다양한 데이터 소스들을 연관시키는 방법을 다루었다.

1장. 실시간 대응: 데이터 수집
소개

시간 대응
-로카르드의 교환 법칙
-휘발성 순서
-언제 실시간 대응을 수행해야 하는가
어떤 데이터를 수집해야
하는가
-시스템시간
-로그온 사용자
-오픈 파일
-네트워크 정보
-네트워크 연결
-프로세스 정보

프로세스 포트 매핑
-프로세스 메모리
-네트워크 상태
-클립보드 내용
-서비스/드라이버 정보
-명령
히스토리
-맵 드라이브
-공유
비휘발성 정보
-레지스터리 설정
-이벤트 로그
-장치와 다른 정보

도구 선별에 관한 말
실시간 재응 방법
-내부 대응 방법
-원격 대응 방법
-혼합 접근

2장.
실시간 대응: 데이터 분석
소개
데이터 분석
-사례 1
-사례 2
-사례 3
-애자일 분석

범위 확대하기
-반응
-예방

3장. 윈도우 메모리 분석
소개
프로세스 메모리 수집
물리
메모리 덤프
-DD
-Nigilant32
-ProDiscover
-KnTDD
-MDD
-Win32dd
-Memoryze
-Winen
-Fastdump
-F-Response

단원 요약
-물리 메모리 덤프에 대한 다른 접그 방법
물리 메모리 덤프 분석
-덤프 파일의 운영체제 판단하기

프로세스 기초
-메모리 덤프 내용 파싱하기
-프로세스 메모리 파싱
-프로세스 이미지 추출하기
-메모리 덤프
분석과 페이지 파일
-풀 할당

4장. 레지스트리 분석
소개
레지스트리 내부
-하이브 파일 내의
레지스트리 구조
-로그 파일로서의 레지스트리
-레지스트리 변화 감시
레지스트리 분석
-RegRipper

시스템 정보
-자동시작 위치
-USB 이동식 저장 장치
-마운트된 장치
-휴대용 장치
-사용자 찾기

사용자 활동 추적하기
-윈도우 XP 시스템 복원 지점
-리다이렉션
-가상화
-삭제된 레지스트리 키

5
장. 파일 분석
소개
로그 파일
-이벤트 로그
-잉벤트 이해학
-이벤트 로그 파일 포맷
-이벤트
로그 헤더
-이벤트 레코드 구조체
-비스타 이벤트 로그
-IIS 로그
-로그 파서
-웹 브라우저
사용기록
-다른 로그 파일들
-휴지통
-XP 시스템 복원 지점
-비스타 볼륨 섀도 복사본 서비스
-프리
패치 파일
-바로 가기 파일
파일 메타데이터
-워드 문서
-PDF 문서
-이미지 파일
-파일
시그니처 분석
-NTFS 대체 데이터 스트림
분석의 대체방법

6장. 실행 파일 분석
소개
정적
분석
-분석 파일 찾기
-파일 문서화하기
-분석
-난독화
동적 분석
-테스트 환경

7
장. 루트킷과 루트킷 탐지
소개
루트킷
루트킷 탐지
-실시간 탐지
-GMER
-Helios
-MS
Strider GhostBuster
-F-Secure BlackLight
-Sophos Anti-Rootkit
-AntiRootKit.com

사후 탐지
-예방

8장. 모두 함께 결합하기
소개
사례 연구
-사례 연구 1: 문서 단서

사례 연구 2: 침입
-사례 연구 3: DFRWS 2008 포렌식 로데오
-사례 연구 4: 파일 복사하기
-사례
연구 5: 네트워크 정보
-사례 연구 6: SQL 인젝션
-사례 연구 7: 애플리케이션이 원인이다
시작하기

문서화
-목표
-체크리스트
-이제 무엇을?
타임라인 분석 확장하기

9장. 예산 안에서 분석
수행하기
소개
분석 문서화하기
도구
-이미지 획득하기
-이미지 분석
-파일 분석
-네트워크
도구
-검색 유틸리티

아마존닷컴의 보안 분야 1위의 베스트셀러!
“디지털
침해사고 분석 및 대응과 사이버 범죄 조사의 비밀”

이 책의 목적은 많은 사고 대응자들과 컴퓨터 포렌식
조사자들이 알고 있는 문제는 포렌식 분석 도구 절차가 알려주는 정보가 어디에서 오며 어떻게 생성되고 파생되었는지, 실제로
이해하지도 않고 지나치게 신뢰한다는 것이다. “닌텐도 포렌식의 시대(Age of Nintendo Forensics)”, 즉 수집된
이미지를 포렌식 분석 애플리케이션에 로딩하고 버튼을 누르는 것과 같은 시대는 끝났다. 분석자와 조사자로써 우리는 더 이상 그런
식의 사고 조사는 기대하지 않는다.

사이버 범죄는 점점 교묘해지고 조사자들은 어떤 흔적들이 시스템에서 이용가능한지,
또한 어떻게 그런 흔적들이 만들어지고 수정되는지를 이해하는 것이 필요하다. 이런 수준의 지식이 “흔적의 부재라는 것 자체가
흔적”이라는 것을 이해하게 한다. 게다가 안티 포렌식(anti-forensics)과 포렌식 분석을 더욱 어렵게 만드는 기술들에
대한 강연과 자료는 더욱 많아지고 있다. 그뿐만 아니라 안티 포렌식 기술을 토론하는 큰 컨퍼런스에서는 그것에 대항하는 포렌식
분석을 위한 대응자나 조사자의 교육 방법과 툴을 사용하기도 한다.

이 책은 좀더 자세하고 세분화된 수준의 이해에 대한
필요성을 알리고자 한다. 이 책의 목적은 동작중인 윈도우즈 시스템과 수집한 이미지의 분석을 위해 어떤 정보가 조사자에게 이용
가능한지를 설명하는 것뿐만 아니라 흥미 있는 추가적인 흔적들에 대한 위치를 찾아내고, 사고의 더욱 완전한 그림을 만들어 내기 위한
다양한 데이터 소스들을 연관시키는 방법에 대한 정보를 제공하는 것이다.

이 책은 윈도우즈 시스템의 실시간 조사 및
사후 조사 중에 데이터를 수집하고 분석하는 기술적인 측면들을 알려주고 있다. 이 책에서 모든 것을 다루고 있는 것은 아니다.
여전히 몇몇 분야의 연구에서 상당히 미진한 부분이 많으며, 많은 정보들이 정리될 필요가 있다. 저자의 바램은 이 책을 읽는
독자들이 좀더 포괄적인 조사와 분석을 위해 윈도우즈 시스템에 존재하는 가능성과 기회들을 일깨울 수 있도록 도움을 주는 것이다.


자인 할랜 카비는 여러분-대응자, 조사자 또는 분석자-의 업무를 위한 필수적인 툴킷을 제공하기 위해 완전히 새롭게 개정된 이
베스트셀러를 선보였다. 윈도우즈는 전 세계적으로 데스크톱과 서버 상에서 가장 많이 사용되는 운영체제이며, 이는 곧 더 많은
침해사고, 악성코드 감염 그리고 사이버 범죄가 이들 시스템에서 발생한다는 것을 의미한다. 인사이드 윈도우즈 포렌식 제 2판은
실시간 및 사후 대응 수집과 분석 방법론, 법 집행관, 정부 기관, 학생 그리고 컨설턴트에게 적합한 소재를 다룬다. 이 책은
사고가 발생한 경우에 가장 먼저 나서게 되지만 인적, 물적 제한 때문에 효과적인 대응에 필요한 지식을 가지지 못한 시스템
관리자들도 이해하기 쉽도록 쓰여졌다. 이 책에 포함된 CD에 있는 새롭게 보강된 중요 자료(스프레드시트, 코드 등)들은 저자에
의해서 제작되고 관리되었기 때문에 다른 곳에서는 구할 수 없는 소중한 자료들이다.

베스트셀러인 1판에 이어 제
2판에서는 내용이 더욱 보강되었다.
실시간 및 사후 조사 동안에 데이터를 분석하기 위한 방법을 학습한다.
자체
제작 도구, 개량된 코드 그리고 스프레드시트가 CD에 포함되어있다.

이 책에 첨부된 CD에는 많은 유용한 정보와
도구가 들어있다. 제공된 모든 도구들은 각 도구들을 설명하는 장을 기준으로 적절한 디렉터리에 저장되어 있다. 거기에다가 이 책의
어떤 장에서도 특별히 설명되지는 않았지만 다른 사람들이 유용하게 쓸 것이라 생각하여 저자가 개발한 몇몇 도구들을 포함한 보너스
디렉터리도 있다. CD에 있는 모든 도구들은 펄 스크립트로 작성되어 있다. 그러나 펄 스크립트의 거의 대부분은 윈도우즈 시스템에서
쉽게 사용하도록 ‘컴파일’ 되어 있다. 펄 스크립트 자체는 대부분 플랫폼 독립적이며, 윈도우즈, 리눅스 그리고 맥 OS X(몇
개는 제외하고)에서 실행되고, 펄이 설치 되어있지 않아도 좀 더 쉽게 실행될 수 있도록 윈도우즈 실행파일을 제공한다.