윈도우 포렌식 분석 툴킷

CHAPTER 1 분석 개념
개요
분석 개념
윈도우 버전
분석 원리
목적
도구 대 처리과정
로카르의 교환 법칙
억측 피하기
직접 아티팩트와 간접 아티팩트
최소 발생 빈도
문서화
융합
가상화
분석 시스템 구성
요약

CHAPTER 2 즉각 대응
시작
대응 준비
의문들
준비의 중요성
로그
데이터 수집
훈련
요약

CHAPTER 3 볼륨 섀도 카피
시작
“볼륨 섀도 카피”란 무엇인가?
레지스트리 키
동작 중인 시스템
ProDiscover
F-Response
획득한 이미지
VHD를 이용한 방법
VMWare를 이용한 방법
VSC 접근 자동화
ProDiscover
요약
참고

CHAPTER 4 파일 분석
시작
MFT
파일 시스템 터널링
이벤트 로그
윈도우 이벤트 로그
휴지통
프리페치 파일
예약된 작업
점프 리스트
하이버네이션 파일
애플리케이션 파일
안티바이러스 로그
스카이프
애플 제품들
이미지 파일
요약
참고

CHAPTER 5 레지스트리 분석
시작
레지스트리 분석
레지스트리 명명법
로그 파일로서의 레지스트리
USB 디바이스 분석
시스템 하이브
서비스
소프트웨어 하이브
애플리케이션 분석
NetworkList
네트워크 카드
예약된 작업
유저 하이브
WordWheelQuery
Shellbags
MUICache
UserAssist
Virtual PC
TypedPaths
추가적인 소스
RegIdleBackup
볼륨 섀도 카피
가상화
메모리
도구
요약
참조

CHAPTER 6 멀웨어 탐지
시작
멀웨어의 특징
초기 감염 벡터
전파 메커니즘
지속 메커니즘
아티팩트
멀웨어 탐지
로그 분석
Dr. Watson Logs
안티바이러스 스캔
AV 논평기사
깊이 들어가기
패킹된 파일
디지털 시그니처
윈도우 파일 프로텍션
Alternate Data Streams
PE 파일 컴파일 시간
MBR 감염원
레지스트리 분석
인터넷 사용기록
추가적인 탐지 메커니즘
심어진 사이트
요약
참조

CHAPTER 7 타임라인 분석
시작
타임라인
데이터 소스
시간 형식
개념
이점
형식
시간
소스
시스템
사용자
설명
TNL 형식
타임라인 만들기
파일 시스템 메타데이터
이벤트 로그
윈도우 XP
윈도우 7
프리페치 파일
레지스트리 데이터
추가적인 소스
타임라인으로 이벤트 파싱하기
시각화에 대한 의견
사례연구
요약

CHAPTER 8 애플리케이션 분석
시작
로그 파일
동적 분석
네트워크 캡처
애플리케이션 메모리 분석
요약
참조