악성코드와 멀웨어 포렌식

01장 멀웨어 사고 대응: 동작 중인 윈도우 시스템에서 휘발성 자료 수집과 검사
___개요
___실시간 대응 툴킷 제작
___휘발성 자료 수집 방법
___프로세스 정보 수집
___열린 포트를 동작 중인 프로세스나 프로그램과 관련짓기
___서비스와 드라이버 파악
___스케줄이 걸린 작업 파악
___클립보드 내용 수집
___동작 중인 윈도우 시스템에서 비휘발성 자료 수집
___동작 중인 윈도우 시스템에서 포렌식용 저장소 매체 복제
___동작 중인 윈도우 시스템에서 포렌식용 관련 자료 보존
___윈도우용 사고 대응 도구 스위트
___정리
___참고 자료

02장 멀웨어 사고 대응: 동작 중인 리눅스 시스템에서 휘발성 자료 수집과 검사
___개요
___휘발성 자료 수집 방법
___동작 중인 리눅스 시스템에서 비휘발성 자료 수집
___정리

03장 메모리 포렌식: 멀웨어 관련 증거물에 대한 물리적 메모리 덤프와 프로세스 메모리 덤프 분석
___개요
___메모리 포렌식 방법론
___구식 메모리 분석 기법
___윈도우 메모리 포렌식 도구
___활성, 비활성, 은닉 프로세스
___윈도우 메모리 포렌식 도구의 동작 원리
___동작 중인 윈도우 시스템에서 프로세스 메모리 덤프와 분석
___프로세스 캡처와 메모리 분석
___리눅스 메모리 포렌식 도구
___리눅스 메모리 포렌식 도구의 동작 원리
___리눅스 시스템에서 프로세스 메모리 덤프와 분석
___프로세스 메모리 캡처와 검사
___정리
___참고 자료

04장 사후 분석 포렌식: 윈도우 시스템에서 멀웨어 관련 증거물 발견과 추출
___개요
___보안에 문제가 생긴 윈도우 시스템을 포렌식 기법으로 검사
___기능 분석: 윈도우 컴퓨터 복원
___윈도우 시스템에서 멀웨어 발견과 추출
___서비스, 드라이버 자동 실행 위치, 예약 작업 검사
___윈도우 시스템에서 멀웨어 발견과 추출을 위한 고급 기법
___정리

05장 사후 분석 포렌식: 리눅스 시스템에서 멀웨어 관련 증거물 발견과 추출
___개요
___리눅스 시스템에서 멀웨어 발견과 추출
___정리

06장 법적인 고려 사항
___개요
___쟁점 형성
___조사 권한의 근원
___권한의 법적 제약
___자료 수집을 위한 도구
___국경을 넘는 자료 수집
___법 집행 참여
___증거 채택 가능성 높이기
___참고 자료

07장 파일 식별과 프로파일링: 윈도우 시스템에서 의심스런 파일의 초기 분석
___개요
___사례 연구: 화끈한 새 비디오!
___파일 프로파일링 과정 개괄
___실행 파일을 대상으로 작업
___파일 유사성 지수 비교
___파일 시그니처 파악과 분류
___심볼과 디버그 정보
___파일 난독화: 패킹과 암호화 파악
___내부에 숨겨진 증거물을 다시 추출
___정리
___참고 자료

08장 파일 식별과 프로파일링: 리눅스 시스템에서 의심스런 파일의 초기 분석
___개요
___파일 프로파일링 과정 개괄
___리눅스 실행 파일을 대상으로 작업
___파일 시그니처 파악과 분류
___내부에 숨겨진 증거물 추출: 문자열, 심볼 정보, 파일 메타데이터
___파일 난독화: 패킹과 암호화 신원 확인
___내부에 숨겨진 증거물을 다시 추출
___ELF 파일 구조
___정리
___참고 자료

09장 의심스런 프로그램 분석: 윈도우
___개요
___목표
___악성 실행 프로그램을 검사하는 지침
___환경 기준 수립
___실행 전 준비: 시스템과 네트워크 감시
___시스템과 네트워크 감시: 파일 시스템, 프로세스, 네트워크, API 활동
___내부에 숨겨진 증거물을 다시 보기
___악성코드 기능/목적 탐구와 검증
___사건 재구성과 증거물 검토: 파일 시스템, 레지스트리, 프로세스, 네트워크 활동 사후 자료 분석
___정리

10장 의심스런 프로그램 분석: 리눅스
___개요
___분석 목표
___실행 전 준비: 시스템과 네트워크 감시
___난독화 해독: 멀웨어에서 방어막 제거
___공격 기능 검토와 비교
___추가적인 기능과 위협 범위 평가
___다른 고려 사항
___정리
___참고 자료