인사이드 윈도우즈 포렌식

1장. 실시간 대응: 데이터 수집
소개
실시간 대응
-로카르드의 교환 법칙
-휘발성 순서
-언제 실시간 대응을 수행해야 하는가
어떤 데이터를 수집해야 하는가
-시스템시간
-로그온 사용자
-오픈 파일
-네트워크 정보
-네트워크 연결
-프로세스 정보
-프로세스 포트 매핑
-프로세스 메모리
-네트워크 상태
-클립보드 내용
-서비스/드라이버 정보
-명령 히스토리
-맵 드라이브
-공유
비휘발성 정보
-레지스터리 설정
-이벤트 로그
-장치와 다른 정보
-도구 선별에 관한 말
실시간 재응 방법
-내부 대응 방법
-원격 대응 방법
-혼합 접근

2장. 실시간 대응: 데이터 분석
소개
데이터 분석
-사례 1
-사례 2
-사례 3
-애자일 분석
-범위 확대하기
-반응
-예방

3장. 윈도우 메모리 분석
소개
프로세스 메모리 수집
물리 메모리 덤프
-DD
-Nigilant32
-ProDiscover
-KnTDD
-MDD
-Win32dd
-Memoryze
-Winen
-Fastdump
-F-Response
-단원 요약
-물리 메모리 덤프에 대한 다른 접그 방법
물리 메모리 덤프 분석
-덤프 파일의 운영체제 판단하기
-프로세스 기초
-메모리 덤프 내용 파싱하기
-프로세스 메모리 파싱
-프로세스 이미지 추출하기
-메모리 덤프 분석과 페이지 파일
-풀 할당

4장. 레지스트리 분석
소개
레지스트리 내부
-하이브 파일 내의 레지스트리 구조
-로그 파일로서의 레지스트리
-레지스트리 변화 감시
레지스트리 분석
-RegRipper
-시스템 정보
-자동시작 위치
-USB 이동식 저장 장치
-마운트된 장치
-휴대용 장치
-사용자 찾기
-사용자 활동 추적하기
-윈도우 XP 시스템 복원 지점
-리다이렉션
-가상화
-삭제된 레지스트리 키

5장. 파일 분석
소개
로그 파일
-이벤트 로그
-잉벤트 이해학
-이벤트 로그 파일 포맷
-이벤트 로그 헤더
-이벤트 레코드 구조체
-비스타 이벤트 로그
-IIS 로그
-로그 파서
-웹 브라우저 사용기록
-다른 로그 파일들
-휴지통
-XP 시스템 복원 지점
-비스타 볼륨 섀도 복사본 서비스
-프리패치 파일
-바로 가기 파일
파일 메타데이터
-워드 문서
-PDF 문서
-이미지 파일
-파일 시그니처 분석
-NTFS 대체 데이터 스트림
분석의 대체방법

6장. 실행 파일 분석
소개
정적 분석
-분석 파일 찾기
-파일 문서화하기
-분석
-난독화
동적 분석
-테스트 환경

7장. 루트킷과 루트킷 탐지
소개
루트킷
루트킷 탐지
-실시간 탐지
-GMER
-Helios
-MS Strider GhostBuster
-F-Secure BlackLight
-Sophos Anti-Rootkit
-AntiRootKit.com
-사후 탐지
-예방

8장. 모두 함께 결합하기
소개
사례 연구
-사례 연구 1: 문서 단서
-사례 연구 2: 침입
-사례 연구 3: DFRWS 2008 포렌식 로데오
-사례 연구 4: 파일 복사하기
-사례 연구 5: 네트워크 정보
-사례 연구 6: SQL 인젝션
-사례 연구 7: 애플리케이션이 원인이다
시작하기
-문서화
-목표
-체크리스트
-이제 무엇을?
타임라인 분석 확장하기

9장. 예산 안에서 분석 수행하기
소개
분석 문서화하기
도구
-이미지 획득하기
-이미지 분석
-파일 분석
-네트워크 도구
-검색 유틸리티