오픈소스 툴을 이용한 디지털 포렌식

 

오픈소스 툴을 이용한 디지털 포렌식

시리즈명: 철통보안 시리즈 004

저자: 할랜 카비, 코리 알사이드

역자: 고원봉
출간예정일: 2012년 1월 26일(목)

정가: 26,000원

페이지: 350p

판형: 190 x 245

ISBN: 978-89-94774-09-1 (93560)

원서정보: Digital Forensics with Open Source Tools

원서 소개
아마존닷컴 소개
Elsevier(원출판사) 소개


샘플 챕터

오픈소스 툴을 이용한 디지털 포렌식 1장.pdf

 

책 소개
오픈소스 컴퓨터 포렌식 툴을 이용한 디지털 포렌식 수사
지침서

 

"맥가이버 방식의 디지털 포렌식을 표명하는 이 책에 있는 실질적인 해결책들, 즉 오픈소스를 이용한 디지털 포렌식은 상용 도구에 문제가 있을 때 우리의 시간을 절약시켜준다. 사고가 발생하고 시간이 흐르면 대응팀들은 긴급한 문제를 해결하기 위해 서로 재빨리 협력한다. Cory Altheide와 Harlan Carvey는 여러분이 필요한 도구와 전술을 알려준다. 이런 책은 내 서재에서 언제나 환영 받는다.”  – 롭 리, SANS Institute

 

《오픈소스 툴을 이용한 디지털 포렌식》은 오픈소스 도구를 이용한 컴퓨터 시스템/매체에 대한 수사와 분석에 대한 최고의 책이다. 이 책은 기술적 절차에 대한 안내서이며 컴퓨터 리눅스 또는 윈도우즈 포렌식 플랫폼에서 이런 도구들을 사용하는 방법에 대해 설명하고 있다. 뿐만 아니라 넓은 범위의 시스템과 아티팩트에 대한 분석을 커맨드라인 명령이나 그래픽 기반 오픈소스 컴퓨터 포렌식 도구를 이용해서 참신한 방식으로 설명하고 있다.

 

 

특징

- 현업에서 일하고 있는 세계적인 유명 포렌식 분석가가 집필했다.

- 포렌식 파일 시스템 분석의 핵심 개념과 기술에 대해 상세히 설명한다.

- 윈도우즈, 맥 그리고 리눅스 운영 체제 아티팩트에 대해 분석한다.

 

 

독자 대상

- 초중급자용

 

기술 서적을 쓸 때 저자가 반드시 대답해야 하는 첫 번째 질문은 “독자 대상이 누구입니까?”라는 물음이다. 저자는 반드시 이 질문을 마음 속에 항상 간직하고 글을 써야 한다. 이 책을 읽은 모든 독자에게 이 책이 쓸모가 있었으면 좋겠지만 예상 독자는 크게 두 그룹으로 나뉜다.

 

첫 번째 그룹은 새로 들어온 포렌식 종사자다. 이들의 종류는 디지털 포렌식 세계에 처음 입문한 학생부터 지금도 현역으로 일하고 있는 사람, 자신의 경력을 바꾸고자 하는 노련한 시스템 관리자까지 다양하다. 이 책이 여러분이 이 분야에서 성공하기 위해 필요한 모든 포렌식 지식을 담고 있는 단 하나의 완벽한 개론서는 아니지만, 바라건데 여러분이 디지털 포렌식을 시작하기에는 충분할 것이다.

 

두 번째 독자는 오픈소스 도구를 처음 접하는 경험 많은 디지털 포렌식 종사자다. 이들은 확실히 넓은 층을 형성하고 있다. 상용, 특허 제품만을 선호하는 포렌식 조사관들이 많기 때문이다. 현재 일하고 있는 많은 조사관들은 단일 상용 벤더에 의존하여 조사를 하곤 한다. 이들은 핵심 포렌식 플랫폼을 위해 하나의 벤더에 의존하며 주 도구가 전혀(또는 잘) 처리하지 못하는 몇몇 일들을 수행하기 위해 약간의 다른 상용 도구를 가지고 있을 수도 있다. 오픈소스 도구에 대한 약간의 또는 전무한 경험을 가지고 있는 이런 노련한 조사관에게는 이 책의 내용이 충분히 많은 도움이 될 것이다.


저자소개

할랜 카비

Terremark Worldwide, Inc의 Advanced Security Project의 부회장이다. 플로리다 마이애미에 위치한 Terremark 사는 IT 인프라스트럭처와 “클라우드 컴퓨팅” 서비스를 전세계에 공급하는 선두 기업이다. Harlan은 Engagement Services practice의 주요 기여자이며 내외부의 고객들에게 디스크 포렌식 분석과 컨설팅, 교육을 제공하고 있다. 또한 그는 연방 정부나 법 집행 기관은 물론 관광 산업과 금융 기관을 위한 포렌식 분석 서비스도 제공하고 있다. Harlan의 주요 관심사는 윈도우즈즈 플랫폼에 초점을 맞춘 참신한 분석 솔루션을 연구하고 개발하는 것이다. 그는 Virginia Military Institue에서 전기 공학을 전공하고 Naval Postgraduate School에서 동일한 전공으로 석사 학위를 취득했다. 현재 노던 버지니아에서 가족과 함께 살고 있다.

 

코리 알사이드

구글의 보안 엔지니어이며 주로 포렌식과 침해사고를 담당하고 있다. 구글 이전에는 포춘 500 기업, 방위 산업 및 사이버 범죄 예방, 전세계의 은행들의 네트워크 보안과 관련된 정보 보안 컨설턴팅 회사인 MANDIANT에서 일했다. 그는 MANDIANT 사의 최고위 컨설턴트로써 다양한 고객을 위해 수많은 침해사고를 처리했으며 일반 회사와 법 집행 기관을 위한 훈련을 개발하고 교육하기도 했다.

 

또한 National Nuclear Security Administration(NNSA)의 Information Assurance Response Center(IARC)에서 수석 네트워크 포렌식 전문가로 일했다. 이런 능력을 바탕으로 잠재적으로 위험한 코드를 분석하고 미 에너지국(Department of Energy) 시설물의 무선 평가를 수행했으며 새로운 포렌식 기술을 연구하기도 했다. 그뿐만 아니라 다양한 에너지국 지국을 위해 실습 가능한 포렌식 훈련을 개발하여 제공했고 Southern Nevada Cyber Crimes Task Force의 멤버들과 긴밀히 협력하여 흔하지 않은 디지털 매체에 대한 조사 기법도 연구했다.

 

Cory는 컴퓨터 포렌식 저널인 Digital Investigation에 여러 논문을 개재했으며 Unix and Linux Forensic Analysis(2008)와 The Handbook of Digital Forensics and Investigation(2010)의 공저자다. 또한 Digital Forensics Research Workshop 프로그램 위원회의 주요 멤버이기도 하다.


역자소개

 

고원봉
성균관대학교 전기전자컴퓨터 공학부를 졸업하고 동 대학원 정보보호학과를 수료한 후 KT의 스팸대응센터에서의 근무를 시작으로 본격적으로 정보보호 분야에 발을 디디게 되었다. 그 후 SKT의 고객정보보호 운영실에 근무하면서 디지털 포렌식을 처음 접하게 되었고 이 분야에 큰 흥미를 느껴 책과 인터넷을 통해 공부를 시작하였다. 현재는 국방부 조사본부 사이버범죄수사과에서 디지털 포렌식 분석 업무를 수행중이다.

 

저술사항) 《윈도우 포렌식 실전 가이드》, 한빛미디어

자격사항) EnCE, CISSP, CISA

기타) 현, 한국 CISSP 협회 개인정보보호팀 팀장


목차

 

1장. 오픈소스 도구를 이용한 디지털 포렌식

“오픈소스 도구를 이용한 디지털 포렌식”의 세계에 오신 것을

환영합니다.

“디지털 포렌식”이란 무엇인가?

“오픈소스”란 무엇인가?

오픈소스 도구의 장점

요약

 

2장. 오픈소스 조사 플랫폼

조사 시스템 준비하기

리눅스 호스트

윈도우즈 호스트

요약

 

3장. 디스크와 파일 시스템 분석

매체 분석 개념

슬루스 킷

파티셔닝과 디스크 레이아웃

특수 컨테이너

해싱

카빙

포렌식 이미징

요약

 

4장. 윈도우즈 시스템과 아티팩트

윈도우즈 파일 시스템

레지스트리

이벤트 로그

프리패치 파일

바로가기 파일

윈도우즈 실행파일

요약

 

5장. 리눅스 시스템과 아티팩트

리눅스 파일 시스템

리눅스 부트 프로세스와 서비스

리눅스 시스템 구조와 아티팩트

사용자 계정

홈 디렉터리

로그

예약된 작업

요약

 

6장. 맥 OS X 시스템과 아티팩트

OS X 파일 시스템 아티팩트

OS X 시스템 아티팩트

사용자 아티팩트

요약

 

7장. 인터넷 아티팩트

브라우저 아티팩트

메일 아티팩트

요약

 

8장. 파일 분석

파일 분석 개념

이미지

오디오

비디오

아카이브

문서

요약

 

9장. 자동 분석과 기능 확장

그래픽 기반 수사 환경

자동 아티팩트 추출

타임라인

요약

 

부록. 무료지만 오픈소스는 아닌 도구들

개요

3장: 디스크와 파일 시스템 분석

4장: 윈도우즈 시스템과 아티팩트

7장: 인터넷 아티팩트

8장: 파일 분석

9장: 분석 자동화와 기능 확장

검증 및 테스트용 자원


이 책의 구성

2장에서는 오픈소스 조사 플랫폼에 대해서 설명한다. 우리는 소스 코드를 실행 코드로 컴파일하고 인터프리터를 설치하기 위해 필요한 전제 조건과 우분투와 윈도우즈즈에서 소프트웨어를 빌드하기 위해 필요한 적당한 환경을 만들기 위한 전제 조건을 모두 보여줄 것이다. 또한 우리의 목적을 위해 윈도우즈즈가 리눅스와 “기능적 동등함”을 갖도록 해주는 몇몇 추가 패키지를 사용하여 윈도우즈즈에서 리눅스 에뮬레이션 환경을 구성할 것이다.

 

3장에서는 슬루스 킷(Sleuth Kit)을 이용하여 디스크와 파일 시스템 분석을 상세히 설명한다. 슬루스 킷은 대표적인 오픈소스 파일 시스템 포렌식 분석 프레임워크다. 슬루스 킷의 사용 방법, 매체 분석의 기본 원리, 디스크와 파티션 구조, 파티 시스템 개념 등에 대해 설명하고 그 외 해싱이나 포렌식 이미지 생성과 같은 추가적인 핵심 디지털 포렌식 주제에 대해서도 살펴볼 것이다.

 

4장 윈도우즈 시스템과 아티팩트는 운영체제 조사에 해당하는 장의 도입 부분이다. FAT와 NTFS 파일 시스템 분석과 NTFS Master File Table의 내부 구조, 레지스트리 하이브의 추출과 분석, 이벤트 로그 그리고 다른 윈도우즈즈 특유의 아티팩트에 대해 다룬다. 마지막으로 멀웨어와 관련된 침해사고가 점점 더 일반화되고 있기 때문에 윈도우즈즈 실행 파일에서 수집할 수 있는 일부 아티팩트에 대해 논의한다.

 

5장 리눅스 시스템과 아티팩트에서는 가장 흔한 리눅스 파일 시스템(Ext2와 Ext3)과 리눅스 서버, 데스크톱에서 발견되는 아티팩트의 식별, 추출, 분석에 대해서 논의한다. 시스템 수준의 아티팩트는 리눅스 부트 프로세스, 서비스 컨트롤 스크립트 그리고 사용자 계정 관리와 관련된 아이템들을 포함한다. 사용자가 만든 아티팩트에는 최근 열린 문서, 마운트된 볼륨 등과 같은 것들을 가리키는 리눅스 그래픽 기반 사용자 환경 흔적이 포함된다.

 

6장은 운영체제와 관련된 마지막 장이며 여기서는 맥 OS X 시스템과 아티팩트에 대해 조사해본다. 슬루스 킷이나 HFSXplorer같은 HFS 전용 도구를 사용하여 HFS+ 파일 시스템을 조사한다. 또한 OS X 환경설정 정보와 사용자 아티팩트의 상당수를 만드는 Property List 파일에 대해서도 분석해본다.

 

7장에서는 인터넷 아티팩트를 검토한다. 인터넷 익스플로러, 모질라 파이어폭스, 애플 사파리 그리고 구글의 크롬 아티팩트는 아웃룩, Maildir, mbox로 포맷된 로컬 메일과 마찬가지로 처리되고 분석된다.

 

8장 전체는 파일 분석에 관한 내용이다. 이 장은 단일 시스템 또는 단일 운영체제에 얶매일 필요가 없는 파일의 분석에 대해 다룬다－문서, 그래픽 파일, 비디오 등. 어떤 수사에서는 이런 파일 타입에 대한 분석이 중요한 부분이 될 수 있고 자주 시스템 사이를 이동하는 특징으로 인해 많은 파일이 그것의 원천 시스템에 대한 흔적을 가지고 있을 가능성이 있다. 추가로 이런 파일 포맷 중 상당수가 파일 시스템이 사라지거나 어떤 다른 악의적 변경에도 불구하고 그대로 유지되는 임베디드 정보를 가지고 있다.

 

9장은 분석 자동화와 기능 확장이라는 주제에 속하는 내용을 다룬다. PyFLAG와 DFF 그래픽 기반 수사 환경에 대해 논의하며 자동화된 포렌식 데이터 추출에서 수고를 덜어주기 위해 만들어진 fiwalk 라이브러리에 대해서도 살펴본다. 뿐만 아니라 타임라인 만들기와 분석은 물론 조사중 시간적 분석에 대해 생각해볼 수 있는 몇몇 대안적 방법에 대해서도 논의한다.

 

부록에서는 오픈소스 도구가 아직 완벽히 다루지 못하는 부분을 대신 채워주는 일부 비-오픈소스 도구에 대해 알아본다. 이런 도구는 무료로 사용 가능하지만 오픈소스 소프트웨어로 제공되지 않기 때문에 이 책의 주 내용과는 직접적으로 맞아 떨어지지는 않는다. 하지만 저자는 이런 도구가 매우 값어치가 있는 것을 알게 되었으며 그것에 대한 일부 설명이 저자가 게으른 탓에 이 책에서 빠져있다는 핀잔을 듣고 싶지 않다.


이 책에서 다루지 않는 것들

이 책의 목적은 초급에서 중급 조사관에게 알맞은 내용을 전달하는 것이지만 만약 여러분이 리눅스 명령어라인에 익숙하지 않다면 도구들을 사용하여 예제를 따라하는 것이 어려울지도 모른다. 극히 소수의 도구만이 리눅스 전용이지만, 도구의 설치와 예제 사용법 대부분은 리눅스 콘솔에서 실행되었다.

 

이 책은 데드 드라이브 포렌식 분석－오프 라인 시스템의 매체와 이미지들－에 거의 모든 초점을 맞추고 있다. 동작중인 시스템의 휘발성 데이터의 수집과 분석은 다루지 않는다. 리눅스 시스템 밖에서 이런 임무를 수행하는 도구의 대부분은 오픈소스가 아니다. 그렇기는 하지만 우리가 살펴볼 대부분의 분석 기법은 동작중인 시스템에서 수집한 아티팩트와 아이템에 동일하게 적용이 가능하다.

 

파일 시스템 내부에 대한 자세한 설명은 이런 주제를 매우 잘 다루고 있는 책이 이미 있기 때문에 여기서는 의도적으로 누락하였다. 비슷한 이유로, 오픈소스 도구의 개발에 대해서도 여기서는 길게 설명하지 않는다. 이 책은 현재 실제로 이용되는 툴에 대해 다룬 포렌식 종사자가 집필한 최초의 도서다.