[신간소개]인사이드 윈도우즈 포렌식 2판: 디지털 해킹 분석 및 대응의 기술 by 할랜 카비

인사이드 윈도우즈 포렌식 2판

:디지털 해킹 분석 및 대응의 기술

시리즈명: 인사이드 시리즈 001

저자: 할랜 카비

역자: 정상민, 정명주

감수자: 박병익

예약판매 시작일: 2010년 5월 10일

출간일: 2010년 5월 24일

정가: 30,000원

페이지: 470p

판형: 190 x 245

ISBN: 978-89-962765-4-8(13560)

원서정보: Windows Forensic Analysis, DVD toolkit 2^nd edition

*책 소개

아마존닷컴의 보안 분야 1위의 베스트셀러!

 

“디지털 침해사고 분석 및 대응과 사이버 범죄 조사의 비밀”

 

“이 책은 처음부터 끝까지 하나도 빠짐없이 현대 실무자를 위한 안내서라고 할 수 있고, 조사자를 위한 훌륭한 학습 자료이며, 심지어 경험 있는 조사자의 실력 향상을 위한 필독서이기도 하다. 이 책은 책에 소개된 기술들과 정보를 어떻게 적용하는지 보여주는 훌륭한 실무 예제들로 가득 차있으며, 모든 포렌식 분야에 적용되어야만 한다. 그 기술들과 정보도 매우 훌륭하지만, 할랜이 제시한 연구, 방법론, 그리고 상세함이 이 책의 진정한 강점이다.”
- 랜스 뮬러(Lance Mueller), BITSEC FORENSIC 사의 공동 소유주

 

 

저자인 할랜 카비는 여러분-대응자, 조사자 또는 분석자-의 업무를 위한 필수적인 툴킷을 제공하기 위해 완전히 새롭게 개정된 이 베스트셀러를 선보였다. 윈도우즈는 전 세계적으로 데스크톱과 서버 상에서 가장 많이 사용되는 운영체제이며, 이는 곧 더 많은 침해사고, 악성코드 감염 그리고 사이버 범죄가 이들 시스템에서 발생한다는 것을 의미한다. 인사이드 윈도우즈 포렌식 제 2판은 실시간 및 사후 대응 수집과 분석 방법론, 법 집행관, 정부 기관, 학생 그리고 컨설턴트에게 적합한 소재를 다룬다. 이 책은 사고가 발생한 경우에 가장 먼저 나서게 되지만 인적, 물적 제한 때문에 효과적인 대응에 필요한 지식을 가지지 못한 시스템 관리자들도 이해하기 쉽도록 쓰여졌다. 이 책에 포함된 CD에 있는 새롭게 보강된 중요 자료(스프레드시트, 코드 등)들은 저자에 의해서 제작되고 관리되었기 때문에 다른 곳에서는 구할 수 없는 소중한 자료들이다.

 

l  베스트셀러인 1판에 이어 제 2판에서는 내용이 더욱 보강되었다.

l  실시간 및 사후 조사 동안에 데이터를 분석하기 위한 방법을 학습한다.

l  자체 제작 도구, 개량된 코드 그리고 스프레드시트가 CD에 포함되어있다.

 

 

CD

이 책에 첨부된 CD에는 많은 유용한 정보와 도구가 들어있다. 제공된 모든 도구들은 각 도구들을 설명하는 장을 기준으로 적절한 디렉터리에 저장되어 있다. 거기에다가 이 책의 어떤 장에서도 특별히 설명되지는 않았지만 다른 사람들이 유용하게 쓸 것이라 생각하여 저자가 개발한 몇몇 도구들을 포함한 보너스 디렉터리도 있다. CD에 있는 모든 도구들은 펄 스크립트로 작성되어 있다. 그러나 펄 스크립트의 거의 대부분은 윈도우즈 시스템에서 쉽게 사용하도록 ‘컴파일’ 되어 있다. 펄 스크립트 자체는 대부분 플랫폼 독립적이며, 윈도우즈, 리눅스 그리고 맥 OS X(몇 개는 제외하고)에서 실행되고, 펄이 설치 되어있지 않아도 좀 더 쉽게 실행될 수 있도록 윈도우즈 실행파일을 제공한다.

*저자소개
할랜 카비

북부 버지니아/메트로 DC 외각에 기반을 둔 컴퓨터 포렌식 및 사고 대응 컨설턴트이며, 호평을 받았던 『Windows Forensics and Incident Recovery』의 저자이기도 하다. 최근에는 긴급 사고 대응과 컴퓨터 포렌식 분석 서비스를 미국 전역의 고객에게 제공하고 있다. 특히 그의 전문 분야는 윈도우 2000과 이후 버전의 플랫폼에서 사고 대응, 레지스트리 및 메모리 분석, 그리고 사후 컴퓨터 포렌식 분석에 초점을 맞추고 있다. 상근 보안 기술자 그리고 취약점 평가 및 침입 테스트 수행 컨설턴트로서의 경력을 가지고 있으며, 이 밖에도 사고 대응 및 컴퓨터 포렌식 서비스를 통해 연방 정부 기관도 지원하고 있다.

 

 

*기술편집자 소개

오간 케이시

cmdLabs의 공동 설립자로 『Digital Evidence and Computer Crime』의 저자이자 『Malware Forensics』의 공동 저자이며, 10년 넘게 사건 처리 및 디지털 포렌식 업무의 발전을 위해 헌신하고 있다. 그는 범 국제적인 네트워크 침입을 포함한 광범위한 조사에서 조직의 보안 침해를 다루며 디지털 증거를 분석하도록 도와주고 있다. 민-형사 사건들에서 증거 입증 및 전문가 의견서를 제출하며, 컴퓨터 포렌식 및 사이버 범죄 사건에 대한 법적 증거물을 작성하기도 한다.

오간은 전자우편과 파일 서버, 모바일 장치, 백업 테이프, 데이터베이스 시스템과 네트워크 로그를 포함한 수많은 포렌식 검사와 수집, 그리고 취약점 평가를 수행했고, 침입 탐지 시스템, 방화벽 및 공개키 기반구조를 배포하고 유지 보수했으며, 다양한 조직을 위한 교육 프로그램 및 절차, 정책을 개발했다. 또한 그는 존스 홉킨스 대학교 정보 보안 연구소에서 대학원생들을 가르치고 연구를 수행하고 있으며, 『Handbook of Digital Forensics and Investigation』의 편집자이자 Elsevier 출판사의 『International Journal of Digital Investigation』의 주 편집자이기도 하다.

 

  

 

*역자소개

정상민

금융 시스템 및 다양한 보안 제품들을 개발하였으며, 핵쉴드의 핵심 개발자로 많은 기술 특허들을 출원하였다. 안철수연구소 선임연구원을 거쳐 현재 NHN에 근무하고 있으며, 기술혁신센터에서 다른 개발자들을 위한 통합 개발환경을 프로그래밍하고 있다. 저서로는 『애플리케이션 해킹』이 있다. (http://blog.naver.com/iwillhackyou)

 

정명주

부푼 꿈을 안고 실리콘 밸리에서 데이터 웨어하우징 제품을 개발하였으나 쓰디쓴 고배를 마시고 안철수 연구소에 입사하게 된다. V3 개발 및 분석팀에서 악성코드 분석에 매진하다가 현재는 NHN에서 기획자, 개발자들이 사용하는 토탈 솔루션 개발에 몰두하고 있다

 

 

 

*감수자소개

박병익

오픈소스에 깊은 관심을 가지고 있으며, (주)에이쓰리시큐리티를 거쳐 현재 (주)엔씨소프트 정보보안팀에서 근무하고 있다. 저서로는 『리버스엔지니어링: 역분석 구조와 원리』와 『리눅스 웹 서버와 실전 웹해킹(그대로 따라하는)』이 있다. HSD(Hacker’S Dream) 그룹에서 활동 중이며, 심플스 커뮤니티(http://simples.kr)를 운영하고 있다.

 

 

*출판사 리뷰

이 책의 목적은 많은 사고 대응자들과 컴퓨터 포렌식 조사자들이 알고 있는 문제는 포렌식 분석 도구 절차가 알려주는 정보가 어디에서 오며 어떻게 생성되고 파생되었는지, 실제로 이해하지도 않고 지나치게 신뢰한다는 것이다. “닌텐도 포렌식의 시대(Age of Nintendo Forensics)”, 즉 수집된 이미지를 포렌식 분석 애플리케이션에 로딩하고 버튼을 누르는 것과 같은 시대는 끝났다. 분석자와 조사자로써 우리는 더 이상 그런 식의 사고 조사는 기대하지 않는다.

 

사이버 범죄는 점점 교묘해지고 조사자들은 어떤 흔적들이 시스템에서 이용가능한지, 또한 어떻게 그런 흔적들이 만들어지고 수정되는지를 이해하는 것이 필요하다. 이런 수준의 지식이 “흔적의 부재라는 것 자체가 흔적”이라는 것을 이해하게 한다. 게다가 안티 포렌식(anti-forensics)과 포렌식 분석을 더욱 어렵게 만드는 기술들에 대한 강연과 자료는 더욱 많아지고 있다. 그뿐만 아니라 안티 포렌식 기술을 토론하는 큰 컨퍼런스에서는 그것에 대항하는 포렌식 분석을 위한 대응자나 조사자의 교육 방법과 툴을 사용하기도 한다.

 

이 책은 좀더 자세하고 세분화된 수준의 이해에 대한 필요성을 알리고자 한다. 이 책의 목적은 동작중인 윈도우즈 시스템과 수집한 이미지의 분석을 위해 어떤 정보가 조사자에게 이용 가능한지를 설명하는 것뿐만 아니라 흥미 있는 추가적인 흔적들에 대한 위치를 찾아내고, 사고의 더욱 완전한 그림을 만들어 내기 위한 다양한 데이터 소스들을 연관시키는 방법에 대한 정보를 제공하는 것이다.

 

이 책은 윈도우즈 시스템의 실시간 조사 및 사후 조사 중에 데이터를 수집하고 분석하는 기술적인 측면들을 알려주고 있다. 이 책에서 모든 것을 다루고 있는 것은 아니다. 여전히 몇몇 분야의 연구에서 상당히 미진한 부분이 많으며, 많은 정보들이 정리될 필요가 있다. 저자의 바램은 이 책을 읽는 독자들이 좀더 포괄적인 조사와 분석을 위해 윈도우즈 시스템에 존재하는 가능성과 기회들을 일깨울 수 있도록 도움을 주는 것이다.

*목차

1장. 실시간 대응: 데이터 수집

소개

실시간 대응

-로카르드의 교환 법칙

-휘발성 순서

-언제 실시간 대응을 수행해야 하는가

어떤 데이터를 수집해야 하는가

-시스템시간

-로그온 사용자

-오픈 파일

-네트워크 정보

-네트워크 연결

-프로세스 정보

-프로세스 포트 매핑

-프로세스 메모리

-네트워크 상태

-클립보드 내용

.
.

-서비스/드라이버 정보

-명령 히스토리

-맵 드라이브

-공유

비휘발성 정보

-레지스터리 설정

-이벤트 로그

-장치와 다른 정보

-도구 선별에 관한 말

실시간 재응 방법

-내부 대응 방법

-원격 대응 방법

-혼합 접근

 

2장. 실시간 대응: 데이터 분석

소개

데이터 분석

-사례 1

-사례 2

-사례 3

-애자일 분석

-범위 확대하기

-반응

-예방

 

3장. 윈도우 메모리 분석

소개

프로세스 메모리 수집

물리 메모리 덤프

-DD

-Nigilant32

-ProDiscover

-KnTDD

-MDD

-Win32dd

-Memoryze

-Winen

-Fastdump

-F-Response

-단원 요약

-물리 메모리 덤프에 대한 다른 접그 방법

물리 메모리 덤프 분석

-덤프 파일의 운영체제 판단하기

-프로세스 기초

-메모리 덤프 내용 파싱하기

-프로세스 메모리 파싱

-프로세스 이미지 추출하기

-메모리 덤프 분석과 페이지 파일

-풀 할당

 

4장. 레지스트리 분석

소개

레지스트리 내부

-하이브 파일 내의 레지스트리 구조

-로그 파일로서의 레지스트리

-레지스트리 변화 감시

레지스트리 분석

-RegRipper

-시스템 정보

-자동시작 위치

-USB 이동식 저장 장치

-마운트된 장치

-휴대용 장치

-사용자 찾기

-사용자 활동 추적하기

-윈도우 XP 시스템 복원 지점

-리다이렉션

-가상화

-삭제된 레지스트리 키

 

5장. 파일 분석

소개

로그 파일

-이벤트 로그

-잉벤트 이해학

-이벤트 로그 파일 포맷

-이벤트 로그 헤더

-이벤트 레코드 구조체

-비스타 이벤트 로그

-IIS 로그

-로그 파서

-웹 브라우저 사용기록

-다른 로그 파일들

-휴지통

-XP 시스템 복원 지점

-비스타 볼륨 섀도 복사본 서비스

-프리패치 파일

-바로 가기 파일

파일 메타데이터

-워드 문서

-PDF 문서

-이미지 파일

-파일 시그니처 분석

-NTFS 대체 데이터 스트림

분석의 대체방법

 

6장. 실행 파일 분석

소개

정적 분석

-분석 파일 찾기

-파일 문서화하기

-분석

-난독화

동적 분석

-테스트 환경

 

7장. 루트킷과 루트킷 탐지

소개

루트킷

루트킷 탐지

-실시간 탐지

-GMER

-Helios

-MS Strider GhostBuster

-F-Secure BlackLight

-Sophos Anti-Rootkit

-AntiRootKit.com

-사후 탐지

-예방

 

8장. 모두 함께 결합하기

소개

사례 연구

-사례 연구 1: 문서 단서

-사례 연구 2: 침입

-사례 연구 3: DFRWS 2008 포렌식 로데오

-사례 연구 4: 파일 복사하기

-사례 연구 5: 네트워크 정보

-사례 연구 6: SQL 인젝션

-사례 연구 7: 애플리케이션이 원인이다

시작하기

-문서화

-목표

-체크리스트

-이제 무엇을?

타임라인 분석 확장하기

 

9장. 예산 안에서 분석 수행하기

소개

분석 문서화하기

도구

-이미지 획득하기

-이미지 분석

-파일 분석

-네트워크 도구

-검색 유틸리티

*아마존 리뷰

세상에 이 책을 대체할 그 어떤 책도 없다!

By 리차드 베츨리히(Real Digital Forensics의 공저자이자 아마존닷컴의 TOP 500 Book 리뷰어)

 

나는 2007년 7월에 이 책의 1판을 읽고 리뷰를 남겼었다. 그리고 이제 막 인사이드 윈도우즈 포렌식 2판을 다 읽었다. 만약 여러분이 윈도우 시스템을 조사하는 일을 하고 있다면, 여러분은 반드시 이 책을 읽어야만 한다. 간단하게 생각하면 된다. 세상에는 이 책을 대체할 책이 없다. 이 책은 또한 이미 출간된 다른 포렌식 도서들을 보완하고 있다.

 

이 책은 조사자들이 위한 수많은 도구들의 사용법을 이해할 수 있도록 잘 설명하고 있다. 저자인 할란은 윈도우즈 포렌식 분석에 있어서 엄청난 경험을 가지고 있다. 그는 끈임 없이 연구하여 무엇이 잘 작동하고 무엇이 그렇지 않은지를 알고 있다.

 

 

만약 여러분이 포렌식 관련 도서를 한 권 산다면, 바로 이 책을 구입하라

By 제니퍼 콜드

 

수년 동안에 할란 카비는 그의 방대한 윈도우즈 포렌식 관련 지식을 공유하고 관련 내용의 책을 출간하며 이 분야를 이끌어 왔다. 할란 카비의 가장 최근의 책인 인사이드 윈도우즈 포렌식 2판도 결코 나를 실망시키지 않았고, 이 개정된 책은 이 분야의 레퍼런스 도서로써 여러분의 책장에 꽂힐 값어치가 충분히 있다.

 

할란은 윈도우즈 OS에 대한 심오한 지식들과 실제 사고 대응에 관한 방대한 경험을 가지고 최초 대응자와 포렌식 분석자들 사이의 틈을 성공적으로 메꾸고 있다. 만약 윈도우 시스템에서 찾아야 할 정보가 있다면(내가 생각하기에 할란은 윈도우즈 레지스트리에 대해서 마이크로소프트 사의 그 누구보다도 더 잘 알고 있고 자료도 잘 정리해 놓았을 것이다) 할란은 그것을 어디서 발견할지 뿐만 아니라 어떻게 발견을 해야 할지도 알려줄 것이다. 그 뿐만 아니라, 첨부된 CD는 여러분의 조사에 더욱 도움을 주기 위해 유용한 데이터를 추출할 수 있는 많은 오픈 소스(펄 기반의) 도구들을 제공하고 있다.

 

 

 

컴퓨터 포렌식 코스가 있는 대학이나 교육 기간에서 교재로 사용되어야 할 도서

By 매기 그레이스 홀브룩

 

참고 사항: 나는 법 집행/컴퓨터 포렌식 분야에서 9년 동안 일해 왔으며, 할란 카비는 네트워크를 통해서 알게 된 신뢰할 수 있는 동료이자 멘토, 그리고 무엇보다도 나의 친구이기도 하다(그러나 아직 실제로 만날 기회는 없었으며, 이메일이나 전화, 그리고 온라인을 통해서만 교류를 해왔다).

 

내가 이 책에 대해서 진실하고 객관적인 리뷰를 쉽게 할 수 있는 이유는 바로 이 책 없이는 내 일을 잘 할 수 없기 때문이다. 수년 전에 재판에 관련하여 엄청난 자료가 요구되는 극단적으로 복잡한 조사를 시행한 적이 있다. 나는 그 때 할란의 책 1판에 굉장히 의존할 수 밖에 없었다.

 

인사이드 윈도우즈 포렌식 2판을 통해 할란은 그가 데이터 분석과 빠르고 정확한 툴을 만들어 내는 것에 있어서 최고 중의 한 사람이라는 것을 다시 한 번 입증했다.

 

많은 교육 기관들에서 관련 과정이 생겨나고 있으며, 이 책이야 말고 그런 과정에 사용되어야 할 책이다.