책 이미지
책 정보
· 분류 : 국내도서 > 컴퓨터/모바일 > OS/Networking > 네트워크 보안/해킹
· ISBN : 9788960776623
· 쪽수 : 620쪽
· 출판일 : 2015-01-30
책 소개
목차
1장. 악성코드 사고 대응
__소개
____로컬 수집 vs. 원격 수집
__휘발성 데이터 수집 방법론
____휘발성 데이터 보존
____라이브 윈도우 시스템에서 물리 메모리 획득
____로컬에서 물리 메모리 획득
____GUI 기반 메모리 덤프 도구
____원격에서 물리 메모리 획득
____대상 시스템에 관한 정보 수집
____시스템에 로그인한 사용자 식별
__프로세스 정보 수집
____프로세스 이름과 프로세스 식별자
____프로세스와 실행 프로그램 매핑: 실행 파일의 전체 시스템 경로
____프로세스와 사용자를 매핑
____자식 프로세스
____동작 중인 프로세스에 의해 로드된 개체의 의존성
__열린 포트와 동작 중인 프로세스/프로그램과의 연관성
____서비스와 드라이버 식별
____동작 중인 서비스 조사
____설치된 드라이버 조사
____열린 파일 확인
____로컬에서 열린 파일 확인
____원격에서 열린 파일 확인
____명령 히스토리 수집
____공유 리소스 식별
____예약 작업 확인
____클립보드 내용 수집
__라이브 윈도우 시스템에서 비휘발성 데이터를 수집
____라이브 윈도우 시스템에서 저장 매체를 포렌식 목적으로 복제
____라이브 윈도우 시스템에서 선별한 데이터의 포렌식 보존
____보안 구성 평가
____신뢰된 호스트 간의 관계 평가
____프리페치 파일 조사
____자동 시작 위치 조사
____이벤트 로그 수집
____로그온 이벤트와 로그오프 이벤트
____사용자 계정과 그룹 정책 정보 검토
____파일시스템 조사
____레지스트리 내용 덤프와 분석
____원격 레지스트리 분석
____웹 브라우저 활동 조사
____쿠키 파일 조사
____보호된 저장소 조사
____라이브 윈도우 시스템에서 악성코드 흔적의 발견과 추출
____의심 파일 추출
____F-Response로 하는 의심 파일 추출
__결론
__주의할점
__침해사고 대응 도구 모음
__원격 수집 도구
__휘발성 데이터 수집 및 분석 도구
__물리 메모리 획득
__대상 시스템 정보 수집
__시스템에 로그인한 사용자 식별
__네트워크 연결과 활동
__프로세스 분석
__핸들
____로드된 DLL
__열린 포트와 동작 중인 프로세스/프로그램과의 연관성
____명령 행 인수
__서비스
__드라이버
__열린 파일
__예약된 작업 확인
__클립보드 내용
__비휘발성 데이터 수집 및 분석 도구
__시스템 보안 설정
__프리페치 파일 분석
__자동 시작 위치
__이벤트 로그
__그룹 정책
__파일시스템: 숨긴 파일과 대체 데이터 스트림
____레지스트리 내용의 덤프와 분석
__웹 히스토리
__악성코드 추출
__참고 문헌
__법학/RFC/기술 명세서
2장. 메모리 포렌식
__소개
____조사 시 고려 사항
__메모리 포렌식 개요
____고전적 메모리 분석 기법
__윈도우 메모리 포렌식 도구의 동작 원리
__윈도우 메모리 포렌식 도구
____프로세스와 스레드
____모듈과 라이브러리
____열린 파일과 소켓
____다양한 데이터 구조체
__윈도우 프로세스 메모리 덤프
____실행 파일 복구
____프로세스 메모리 복구
____라이브 시스템에서 프로세스 메모리 추출
__윈도우 프로세스 메모리 해부
__결론
__주의할 점
__메모리 포렌식: 현장 노트
__참고 문헌
__법학/RFC/기술 명세서
3장. 사후 포렌식
__소개
__윈도우 포렌식 분석 개요
__윈도우 시스템에서 악성코드 식별 및 추출
____알려진 악성코드 검색
____설치된 프로그램 조사
____프리페치 파일 조사
____실행파일 점검
____서비스, 드라이버, 자동 실행 위치, 예약된 작업 점검
____로그 조사
____사용자 계정과 로그인 활동 검토
__윈도우 파일 시스템 조사
__윈도우 레지스트리 조사
____복원 지점
__키워드 검색
__감염된 윈도우 시스템의 포렌식적 재구성
__윈도우 시스템에서 악성코드를 식별하고 추출하는 고급 기법
__결론
__주의할 점
__윈도우 시스템 조사: 현장 노트
__윈도우 분석 도구 상자
__포렌식 사본 마운팅
__윈도우 시스템의 포렌식 조사
__타임라인 생성
__윈도우 시스템 내의 일반적인 정보 출처에 대한 포렌식 조사
__참고 문헌
4장. 법적 고려사항
__다루고자 하는 이슈
__일반적인 고려사항
____법적 환경
__조사 권한 부여 기관
____관할권에 따른 권한
____사적 권한
____공공/법령에 의한 권한
__권한에 대한 법령적 제한
____저장된 데이터
____실시간 데이터
____보호된 데이터
__데이터 수집용 도구
____업무용
____수사용
____수사/해킹 겸용
__국경 간 데이터 수집
____개인 또는 민간 조사에 있어서의 업무현장 데이터
____정부 또는 범죄 조사에 있어서의 업무현장 데이터
__사법당국의 개입
____피해자가 사법당국의 개입을 꺼리는 이유
____사법당국의 관점
____사법당국과 피해자 사이에서 중립 지키기
__증거능력 향상
____문서화
____보존
____연계 보관
__각 주의 사립탐정 관련 법령과 정보유출 고지
__국제 기구 자료
____국경 간 수사 관련 자료
__연방 법률: 디지털 조사관이 사용할 증거
____관련성
____입증
____최적 증거
____전문가 증언
____변호사 비밀유지 의무 포기의 제한
5장. 파일 식별과 프로파일링
__소개
__파일 프로파일링 절차에 대한 개요
____의심스러운 파일 프로파일링
____명령 행 인터페이스 MD5 도구
____GUI MD5 도구
__파일 유사도 인덱싱
__파일 시각화
____파일 시그니처 식별 및 분류
____파일 형식
____파일 시그니처 식별 및 분류 도구
____안티 바이러스 시그니처
____웹기반 악성코드 스캐닝 서비스
____내장 아티팩트 추출: 스트링, 심볼릭 정보, 그리고 파일 메타데이터
____문자열
____파일 의존성 검사: 동적, 정적 링크
____심볼릭과 디버그 정보
____내장된 파일 메타데이터
__파일 난독화: 패킹과 암호화 식별
____패커
____크립터
____바인더, 조이너, 래퍼
____내장 아티팩트를 추출해 재검토
____윈도우 실행파일 형식
__의심스러운 문서 파일 프로파일링
____PDF 파일 프로파일링
____PDF 파일 형식
____PDF 프로파일링 프로세스: CLI 도구
____PDF 프로파일링: GUI 도구
____마이크로소프트 오피스 파일 프로파일링
____마이크로소프트 오피스 문서: 워드, 파워포인트, 엑셀
____마이크로소프트 오피스 문서: 파일 형식
____마이크로소프트 오피스 문서: 취약점과 익스플로잇
____마이크로소프트 오피스 문서 프로파일링 절차
____OffceMalScanner를 이용한 심층 프로파일링
____MS CHM(컴파일된 HTML 도움말 파일) 프로파일링
____CHM 프로파일링 프로세스
__결론
__주의할 점
__참고문헌
__기술 명세
6장. 악성코드 표본 분석
__소개
__목표
__악성코드 분석 지침
__분석 환경 기준 수립
____시스템 '스냅샷'
____호스트 무결성 모니터
____설치 모니터
__실행 전 준비 사항: 시스템과 네트워크 모니터링
____시스템 및 네트워크를 대상으로 한 패시브 모니터링
____시스템 및 네트워크를 대상으로 한 액티브 모니터링
__실행 아티팩트 캡처: 디지털 흔적과 추적 증거
____흔적 증거
____추적 증거
____디지털 흔적 증거
____디지털 추적 증거
__악성코드 표본 실행
__실행 궤적 분석: 네트워크, 프로세스, API, 파일 시스템 그리고 레지스트리 활동 관찰
____네트워크 활동: 네트워크 궤적, 흔적, 그리고 추적 증거
____환경 에뮬레이션 및 수정: 네트워크 궤적 재구성
____네트워크 궤적 재구성: 연쇄(chaining)
____네트워크 흔적 및 추적 증거
____NetCat 리스너 사용
____프로세스 활동 조사
____프로세스 감시: API 호출 모니터링
____피핑 톰(Peeping Tom): 윈도우 스파잉
____파일 시스템 활동 조사
____레지스트리 활동 조사
__자동화된 악성코드 분석 프레임워크
__온라인 악성코드 분석 샌드박스
__난독화 해제
____사용자 지정 언패킹 도구
____의심스러운 메모리 내 프로세스를 덤프
____OEP 위치를 확인하고 OllyDump로 추출하기
____임포트 테이블 재구성
__내장 아티팩트 재검토
____디스어셈블러를 통한 의심스러운 프로그램 조사
____고급PE 분석: PE 리소스 및 의존성 조사
__악성코드 표본 파일과의 상호작용 및 조작: 기능과 목적에 대한 연구 및 검증
____API 후킹
____트리거 이벤트 구동
____클라이언트 응용 프로그램
__이벤트 재구성과 아티팩트 재조사: 실행 후 데이터 분석
____패시브 모니터링 아티팩트
____액티브 모니터링 아티팩트
____캡처된 네트워크 트래픽 분석
____API 호출 분석
____물리 메모리 아티팩트
__디지털 바이러스학: 악성코드의 분류 및 계통 발생론을 통한 고급 프로파일링
____CTPH
____텍스트 유사도와 바이너리 유사도
____함수 흐름도
____프로세스 메모리 궤적 분석
____시각화
____행위에 관한 프로파일링 및 분류
__결론
__주의할 점
__참고문헌
