<책소개>
최근 관심이 집중되고 있는 ’현장 포렌식' 분야에서 디지털 조사관들이 중요한 범죄 증거를 수집하고 획득하기 위한 방법을 자세하게 설명하는 실무서다. 특정 운영체제에서 동작하는 특정 도구만 다루는 책이나 원론적인 이론만 다루는 책과는 달리, 멀웨어로 인해 문제가 발생한 시스템에서 악성 코드를 찾아내고 감염에 따른 영향을 파악하기 위해 기술적인 맥락에서 현장 보존부터 사후 분석까지 디지털 포렌식의 전체 주기를 다룬다. 또한 윈도우와 리눅스 운영체제를 대상으로 휘발성 증거 보존과 수집, 물리 메모리와 프로세스 메모리 덤프, 멀웨어와 증거물 추출, 의심스런 파일 식별과 프로파일링, 악성 코드 정적 분석과 동적 분석 기법을 시나리오와 현장 사례 연구를 들어 단계별로 설명한다.
<목차>
01장 멀웨어 사고 대응: 동작 중인 윈도우 시스템에서 휘발성 자료 수집과 검사
개요
실시간 대응 툴킷 제작
휘발성 자료 수집 방법
프로세스 정보 수집
열린 포트를 동작 중인 프로세스나 프로그램과 관련짓기
서비스와 드라이버 파악
스케줄이 걸린 작업 파악
클립보드 내용 수집
동작 중인 윈도우 시스템에서 비휘발성 자료 수집
동작 중인 윈도우 시스템에서 포렌식용 저장소 매체 복제
동작 중인 윈도우 시스템에서 포렌식용 관련 자료 보존
윈도우용 사고 대응 도구 스위트
정리
참고 자료
02장 멀웨어 사고 대응: 동작 중인 리눅스 시스템에서 휘발성 자료 수집과 검사
개요
휘발성 자료 수집 방법
동작 중인 리눅스 시스템에서 비휘발성 자료 수집
정리
03장 메모리 포렌식: 멀웨어 관련 증거물에 대한 물리적 메모리 덤프와 프로세스 메모리 덤프 분석
개요
메모리 포렌식 방법론
구식 메모리 분석 기법
윈도우 메모리 포렌식 도구
활성, 비활성, 은닉 프로세스
윈도우 메모리 포렌식 도구의 동작 원리
동작 중인 윈도우 시스템에서 프로세스 메모리 덤프와 분석
프로세스 캡처와 메모리 분석
리눅스 메모리 포렌식 도구
리눅스 메모리 포렌식 도구의 동작 원리
리눅스 시스템에서 프로세스 메모리 덤프와 분석
프로세스 메모리 캡처와 검사
정리
참고 자료
04장 사후 분석 포렌식: 윈도우 시스템에서 멀웨어 관련 증거물 발견과 추출
개요
보안에 문제가 생긴 윈도우 시스템을 포렌식 기법으로 검사
기능 분석: 윈도우 컴퓨터 복원
윈도우 시스템에서 멀웨어 발견과 추출
서비스, 드라이버 자동 실행 위치, 예약 작업 검사
윈도우 시스템에서 멀웨어 발견과 추출을 위한 고급 기법
정리
05장 사후 분석 포렌식: 리눅스 시스템에서 멀웨어 관련 증거물 발견과 추출
개요
리눅스 시스템에서 멀웨어 발견과 추출
정리
06장 법적인 고려 사항
개요
쟁점 형성
조사 권한의 근원
권한의 법적 제약
자료 수집을 위한 도구
국경을 넘는 자료 수집
법 집행 참여
증거 채택 가능성 높이기
참고 자료
07장 파일 식별과 프로파일링: 윈도우 시스템에서 의심스런 파일의 초기 분석
개요
사례 연구: 화끈한 새 비디오!
파일 프로파일링 과정 개괄
실행 파일을 대상으로 작업
파일 유사성 지수 비교
파일 시그니처 파악과 분류
심볼과 디버그 정보
파일 난독화: 패킹과 암호화 파악
내부에 숨겨진 증거물을 다시 추출
정리
참고 자료
08장 파일 식별과 프로파일링: 리눅스 시스템에서 의심스런 파일의 초기 분석
개요
파일 프로파일링 과정 개괄
리눅스 실행 파일을 대상으로 작업
파일 시그니처 파악과 분류
내부에 숨겨진 증거물 추출: 문자열, 심볼 정보, 파일 메타데이터
파일 난독화: 패킹과 암호화 신원 확인
내부에 숨겨진 증거물을 다시 추출
ELF 파일 구조
정리
참고 자료
09장 의심스런 프로그램 분석: 윈도우
개요
목표
악성 실행 프로그램을 검사하는 지침
환경 기준 수립
실행 전 준비: 시스템과 네트워크 감시
시스템과 네트워크 감시: 파일 시스템, 프로세스, 네트워크, API 활동
내부에 숨겨진 증거물을 다시 보기
악성코드 기능/목적 탐구와 검증
사건 재구성과 증거물 검토: 파일 시스템, 레지스트리, 프로세스, 네트워크 활동 사후 자료 분석
정리
10장 의심스런 프로그램 분석: 리눅스
개요
분석 목표
실행 전 준비: 시스템과 네트워크 감시
난독화 해독: 멀웨어에서 방어막 제거
공격 기능 검토와 비교
추가적인 기능과 위협 범위 평가
다른 고려 사항
정리
참고 자료
'보안 > 보안서적' 카테고리의 다른 글
악성코드 분석가의 비법서 (0) | 2012.09.27 |
---|---|
해킹과 침투 테스트를 위한 코딩 (0) | 2012.09.27 |
해킹사고의 재구성 (0) | 2012.09.27 |
[시스템로그분석]해킹 피해와 보안 추적의 결정적 파일 (0) | 2012.09.21 |
[열혈강의]웹, 해킹과 방어 (0) | 2012.09.17 |