철통보안, 윈도우즈 레지스트리 포렌식: 보안 전문가를 위한 디지털 포렌식 분석

 

철통보안, 윈도우 레지스트리 포렌식

:보안 전문가를 위한 디지털 포렌식 분석


시리즈명: 철통보안 시리즈 002

저자: 할랜 카비

역자: 백제현

출간일: 2011년 8월 17일(수)

정가: 24,000원

페이지: 267p

판형: 190 x 245

ISBN: 978-89-94774-05-3(13560)

원서정보: Windows Registry Forensics: Advanced Digital Forensic Analysis of the Windows Registry

 

도서구입 예약하기
[YES24]  [인터파크]  [교보문고]  [강컴]  [알라딘]  [도서11번가]  [리브로]

 

*책 소개

윈도우 레지스트리의 고급 디지털 분석

 

할랜 카비가 전하는 툴과 기법, 조언을 이용한 윈도우 레지스트리에 존재하는 증거분석 기법의 재발견

 

“이 책은 레지스트리 분석이 모든 디지털 포렌식 사건의 핵심이라는 광범위한 증거를 제공한다. 할랜 카비는 의심스러운 사용자 계정이나 악성코드 침입에 기반한 활동에 대한 주요 증거를 복구하는 핵심 분석 기법을 활용하는 판독 전문가의 위치에 있다. 할랜은 자신의 광범위한 경험과 연구를 이용하여 이 책을 집필하였으므로, 이 책에 수록된 사례연구는 모든 포렌식 분석자들이 즉시 이용 가능한 기법의 상세한 이면까지도 제공하고 있다. 이 책은 Windows XP에서 Windows 7에 이르는 MS 레지스트리의 최근 포렌식 지식을 배우기 위해서 반드시 알아야 하는 내용을 다루고 있으며, 비중 있는 디지털 포렌식 분석자에게 핵심지식을 전달할 수 있는 지침서다.” - 롭 리(Rob Lee), SANS Institute

 

포렌식 분야에서 가장 분석하기 어려운 부분인 윈도우 레지스트리에 관한 도서로 레지스트리 하이브 파일의 바이너리 구조에 관한 이해를 발전시킬 수 있는 레지스트리의 배경지식을 제공한다. 또한 실시간 대응과 실시간 분석에 관한 접근이 포함되어 있을 뿐만 아니라, 사후분석에서 활용할 수 있는 도구들과 기법들이 상당히 많은 분량을 차지하고 있다.

 

사후분석에 활용할 수 있는 도구들과 기법들은 일반 사용자의 관점을 넘어서서 레지스트리에 포함되어 있는 데이터의 실제분석이 제시될 것이고, 레지스트리의 포렌식적 가치를 증명할 것이다.

 

-      공개형 도구를 이용한 실제사례 수록

-      윈도우 레지스트리에 관한 깊은 이해와 설명

-      이 책에 소개된 저자가 개발한 도구들과 코드를 CD에 수록

 

 

CD

이 책에 첨부된 CD에는 인터넷에서 편하게 얻을 수 있는 직접 펄(Perl) 스크립트로 개발한 몇 가지 분석 도구와 이 책에서 설명된 도구들이 포함되어 있다. CD에 포함되어 있는 분석 도구들은 오픈소스로 제공되는 것이므로 코드를 조사할 때 자유롭게 사용하기를 바라며, 필요하다면 여러분의 요구에 맞게 수정해서 사용하기를 바란다. 뿐만 아니라, “컴파일된” Perl2Exe와 같이 실행할 수 있는 버전의 분석 도구들을 CD에 수록하였기 때문에 CD에 수록된 도구를 사용하기 위해 펄을 설치할 필요가 없다.

 

독자 대상: 중급
이 책은 연구원, 법집행 공무원, 학생, 사고대응자, 분석자 등 윈도우즈 시스템의 포렌식 분석에 관심이 있는 모든 사람들을 위해 집필되었다. 뿐만 아니라 시스템 관리자나 시스템에 관심이 많은 사람도 이 책을 통해서 유용한 정보를 얻게 될 것이다. 이 책은 포렌식 분석자나 사고 대응자에 의해 어떻게 활용되는지를 보여주려고 노력하였다. 여러분이 맷 새넌(Matt Shannon)이 개발한 훌륭한 기업용 F-Response를 통해 시스템에서 획득한 이미지를 조사하든지 원격 시스템을 연결하든지 간에, 악성코드의 감염이나 침입뿐만 아니라 잘못될 시스템 사용에 관한 지표를 찾기 위해 RegRipper같은 도구를 활용할 수 있다.

 

 

*저자소개

할랜 카비(Harlan Carvey, CISSP)

Terremark Worldwide 사의 부사장으로 고급 보안 프로젝트를 맡고 있다. Terremark 사는 플로리다의 마이애미에 있으며 IT 기반시설과 “클라우드 컴퓨팅” 서비스를 선도하는 세계적인 회사다. 그는 디스크 포렌식 분석과 컨설팅 및 국내외 고객을 대상으로 하는 서비스 교육 등의 업무에 있어서 핵심인력이다. 할랜은 서비스 산업, 금융 산업, 연방 정부 기관 및 법 집행 기관 등에 포렌식 분석 서비스를 제공하였으며, 새로운 분석방법의 연구와 개발을 포함한 윈도우즈 플랫폼에 주요 관심 분야를 집중하고 있다. 버지니아 군사대학교(Virginia Military Institute)에서 전자공학 학사와 미해군대학원(Naval Postgraduate School)에서 전자공학 석사를 받았고, 현재 가족과 함께 북부 버지니아에서 거주하고 있다.

 

 

*역자소개

백제현

정보보호에 있어서의 전문분야는 조직 정책 및 위험관리, 사업연속성 및 재해복구 계획, 정보보호관리체계로서, (isc)2 KOREA Chapter이면서 국내 최고의 정보보호 전문가 지성집단인 (사)한국CISSP협회에서 보연 연구 부문장이라는 중책을 맡고 있다. 포렌식에 있어서의 전문분야는 포렌식 절차 전반과 법률적 포렌식이며, 특히 법학 전공의 학부 과정을 포함한 10년간 체득한 법률지식에 사이버포렌식 전공의 동국대 국제정보대학원 석사과정을 통하여 체득한 기술적 포렌식 지식을 더하여 법률적 포렌식과 기술적 포렌식을 접목해야 하는 분야에서 중요한 업무를 수행하고 있으며, 지금도 디지털 증거 관련 법률 연구에 매진하고 있다.

 

 

*목차

 

1장. 레지스트리 분석

소개

 “레지스트리 분석”이란 무엇인가?

-      분석 개념

-      레지스트리 분석의 난제

윈도우즈 레지스트리란 무엇인가?

-      윈도우즈 레지스트리의 용도

-      디스크에 존재하는 윈도우즈 레지스트리의 위치

-      전문용어

레지스트리 구조

-      레지스트리 키 셀

-      레지스트리 값 셀

요약

자주 묻는 질문

참조

 

2장. 레지스트리 분석 도구(Tools)

소개

실시간 분석

-      실시간 레지스트리 Query

-      Windows Scripting

-      펄

-      레지스트리 모니터링

포렌식 분석

요약

자주 묻는 질문

참조

 

3장. 사례연구: 시스템

소개

Security 하이브와 SAM 하이브

-      Security 하이브에서 데이터 추출하기

-      SAM 하이브의 사용자 정보

-      사용자 패스워드 크랙

시스템 하이브

-      CurrentControlSet

-      USB 장치

-      연결된 USB 장치와 드라이브 문자 매핑

-      프린터

-      방화벽 정책

-      경로(Route) 설정 및 수정

-      네트워크 인터페이스

-      파일 시스템 설정하기

소프트웨어 하이브

-      리다이렉션

-      파일 결합(File Associations)

-      웹 브라우저

-      자동시작 위치

-      이미지 파일 실행 옵션

-      Shell Extensions

-      ProfileList

-      UAC

-      네트워크 카드

-      무선 연결

-      MRT

BCD 하이브

요약

자주 묻는 질문

참조

 

4장. 사례연구: 사용자 활동 분석

소개

사용자 활동 추적

-      MRU 리스트

-      RUN 키

-      USB 장치

-      검색

-      RecentDocs

-      ComDlg32

-      Shell-bags

-      UserAssist 키

-      MuiCache

-      파일 결합

시나리오

-      단일 정보 결합하기

-      “트로이 목마” 변론

-      다른 시스템에 연결하기

요약

참조

 

*출판사 리뷰

 

제1장 레지스트리 분석

이 장은 레지스트리 분석에 대한 전반적인 주제와 분석 절차에 관해 설명한다. 레지스트리 분석이란 상용 포렌식 도구의 버튼을 누르고 나타나는 결과를 수용하는 것 그 이상을 말한다. 레지스트리 분석은 수많은 레지스트리 값들 중에서 하나의 레지스트리 값을 찾아내는 것일 수도 있으나, 그보다는 상당히 많은 키(LastWrite 시간을 포함하여)와 값을 수집하고 연관성을 찾아내는 경우일 때가 많고, 심지어 다른 근원에서 수집된 파일시스템이나 이벤트 로그와 같은 다른 데이터와 그러한 정보들 간의 상관관계를 확인하는 것이다.

 

모든 분석은 그 목적에 맞게 시작되어야 한다. 여러분이 찾고자 하는 것은 무엇인지, 여러분이 보고자 하는 것과 증명하고자 하는 것과 밝히고자 하는 것이 무엇인지 알고 분석이 시작되어야 한다.

 

제2장 레지스트리 분석 도구(Tools)

2장에서는 두 가지 기본적인 관점에서 레지스트리 분석에 사용되는 다양한 도구들에 관해 알아볼 것이다. 첫 번째 관점은 시스템에서의 다양한 활동에 영향을 미치는 레지스트리 키와 값의 결정을 수반한다. 간단히 말하면, 활성 시스템의 레지스트리 접근 감시나 악성코드의 설치 또는 어플리케이션 사용과 같은 특정 활동에 따르는 변화 결정 등을 수반한다는 것이다. 두 번째 관점은 시스템의 포렌식 분석과정에서 발견한 정보를 사용하는 것과 특히 시스템으로부터 획득한 레지스트리 파일을 사용하는 것을 포함한다.

 

제3장 사례연구: 시스템

이 책 이전에 출간한 책을 집필하는 과정을 통해 이해하게 된 것은 레지스트리 키와 값에 관한 장황한 목록을 제공하는 것이 대부분의 분석자들에게 별로 가치가 없다는 것이고, 이는 사실이다. 레지스트리 키와 값에 대한 장황한 목록에 대해 어떤 분석자는 듣지 않으려 했고 어떤 분석자는 전혀 고려하지 않으려고 했다. 보통의 경우에 있어서 이러한 목록을 단순히 제시하는 것은 그 정보가 어떻게 사용되었는지를 증명하는 데 큰 역할을 하지 못하며, 굉장히 다양한 형태로 이루어질 조사 과정에 있어서는 더욱 그러하다. 그래서 기초적 요소를 제공하고 각기 다른 구조들로부터 분석자들이 정보를 조합하는 것을 예상하는 것보다는 이번 장과 제4장에서 취하고 있는 접근방식으로 다양한 조사과정에서 다양한 키와 값들이 가지고 있는 중요한 영향을 보여줄 것이며, 다른 데이터와 분석과 관련하여 레지스트리 키와 값이 어떻게 사용되는지 보여줄 것이다.

 

제4장 사례연구: 사용자 활동 분석

이 장은 분석자들에게 여러모로 중요한 내용을 다루고 있다. 이 장에는 사용자 계정(사용자 활동)과 관련된 활동을 중심으로 하는 상당수의 조사가 포함되어 있다. 특히 법 집행자가 “트로이 목마 방어(Trojan defense)”를 경험하는 경우에 있어서의 조사와 전직 직원에 의한 산업기밀 유출이나 지적재산권 침해에 관련된 수사도 포함되어 있다. 뿐만 아니라 내가 신용카드 정보 절도나 유출을 조사하는 동안에 특정 사용자 계정과 관련된 상당히 가치 있는 데이터들을 발견하였는데, 이러한 정보들도 수록되어 있다.