할랜 카비의 윈도우 포렌식 분석 툴킷 3/e

 

 

윈도우 포렌식 분석 툴킷

 

: Windows 7을 위한 고급 분석 기법

 

시리즈 철통보안 시리즈 013

저자 할랜 카비

역자 고원봉

 

출간일 2013년 4월 16일 (화)

정가 25,000원

페이지 298

판형 190 x 245

ISBN 978-89-94774-35-0 (93560)

원서정보 Windows Forensics Analysis Toolkit 3/e: Advanced Analysis Techniques for Windows 7 

 

 

책 소개

 

 

Windows 7을 위한 고급 분석 기술

 

“할랜이 또다시 해냈다! 이 책은 모든 포렌식 분석가들에게 필수적인 자료다. 여러분이 노련한 전문가이든지 이제 막 시작한 초보자이든지에 상관없이 이 책은 반드시 읽어봐야 한다. 《윈도우 포렌식 분석 툴킷, 3판》은 내게 가장 중요한 책들만 모아둔 책장에 영구적으로 간직될 것이다.”

 

-          코리 알사이드, 구글

 

드디어 3판에 이르러, 할랜 카비는 윈도우 포렌식 분석 툴킷의 범위를 윈도우 7 시스템으로 확장했다. 이번 판의 핵심은 윈도우 7 시스템의 분석과 과정을 무료 도구와 오픈 소스 도구를 이용해서 수행하는 것이다. 뿐만 아니라, 라이브 리스폰스, 파일 분석, 멀웨어 탐지, 타임라인 그리고 그 외 다른 많은 것들을 다루고 있다. 저자는 그의 실제 경험을 바탕으로, “how”를 넘어서는 “why”에 해당하는 실용적인 기법들을 이 책에서 보여주고 있다.

 

이 책의 특징

 

- 윈도우 7 시스템에 대한 완벽한 분석과 예제

- 현장, 사례 연구, 실제 겸험을 바탕으로 하는 유익한 정보

- 프린트 가능한 점검표, 치트 시트, 마음대로 수정이 가능한 도구, 연습 과정 등이 포함된 참고 자료 제공

 

이번 판에서는 프린트 가능한 점검표, 치트 시트, 무료인 수정 가능한 도구 그리고 연습 과정 등이 포함된 중요한 자료들을 제공하고 있다.

 

자료 다운로드

 

http://code.google.com/p/winforensicaanalysis/downloads/list

 

독자대상

 

초중급

 

 

 

저자소개

 

 

할랜 카비 (CISSP)

 

플로리다 마이애미에 본사가 있는 Terremark Worldwide, Inc. 산하의 Advanced Security Projects의 부사장이다. 할랜은 연방 정부와 법 집행 기관은 물론 의료업계, 경제 연구소에도 포렌식 분석 서비스를 제공하고 있다. 그는 현재 그의 가족과 노던 버지니아에 살고 있다.

 

 

 

역자소개

 

 

고원봉 (CISSP, CISA, EnCE)

 

성균관대 전기전자컴퓨터공학부를 졸업하고 동 대학원 정보보호학과를 수료한 후 KT의 스팸대응센터에서 근무를 시작으로 본격적으로 정보보호 분야에 발을 디디게되었다. 그후 SKT 고객정보보호운영실에 근무하면서 디지털 포렌식을 시작하였으며, 국방부 조사본부 사이버범죄수사대에서 포렌식 분석 업무를 계속하였다. 현재는 현대 카드 감사기획팀에서 디지털 감사 업무를 수행 중이다.

 

《윈도우 포렌식 실전 가이드》(한빛미디어)를 저술했고, 《오픈 소스 툴을 이용한 디지털 포렌식》(비제이퍼블릭)을 번역했다.

 

 

 

목차

 

 

CHAPTER 1 분석 개념

개요

분석 개념

윈도우 버전

분석 원리

목적

도구 대 처리과정

로카르의 교환 법칙

억측 피하기

직접 아티팩트와 간접 아티팩트

최소 발생 빈도

문서화

융합

가상화

분석 시스템 구성

요약

 

CHAPTER 2 즉각 대응

시작

대응 준비

의문들

준비의 중요성

로그

데이터 수집

훈련

요약

 

CHAPTER 3 볼륨 섀도 카피

시작

“볼륨 섀도 카피”란 무엇인가?

레지스트리 키

동작 중인 시스템

ProDiscover

F-Response

획득한 이미지

VHD를 이용한 방법

VMWare를 이용한 방법

VSC 접근 자동화

ProDiscover

요약

참고

 

CHAPTER 4 파일 분석

시작

MFT

파일 시스템 터널링

이벤트 로그

윈도우 이벤트 로그

휴지통

프리페치 파일

예약된 작업

점프 리스트

하이버네이션 파일

애플리케이션 파일

안티바이러스 로그

스카이프

애플 제품들

이미지 파일

요약

참고

 

CHAPTER 5 레지스트리 분석

시작

레지스트리 분석

레지스트리 명명법

로그 파일로서의 레지스트리

USB 디바이스 분석

시스템 하이브

서비스

소프트웨어 하이브

애플리케이션 분석

NetworkList

네트워크 카드

예약된 작업

유저 하이브

WordWheelQuery

Shellbags

MUICache

UserAssist

Virtual PC

TypedPaths

추가적인 소스

RegIdleBackup

볼륨 섀도 카피

가상화

메모리

도구

요약

참조

 

CHAPTER 6 멀웨어 탐지

시작

멀웨어의 특징

초기 감염 벡터

전파 메커니즘

지속 메커니즘

아티팩트

멀웨어 탐지

로그 분석

Dr. Watson Logs

안티바이러스 스캔

AV 논평기사

깊이 들어가기

패킹된 파일

디지털 시그니처

윈도우 파일 프로텍션

Alternate Data Streams

PE 파일 컴파일 시간

MBR 감염원

레지스트리 분석

인터넷 사용기록

추가적인 탐지 메커니즘

심어진 사이트

요약

참조

 

CHAPTER 7 타임라인 분석

시작

타임라인

데이터 소스

시간 형식

개념

이점

형식

시간

소스

시스템

사용자

설명

TNL 형식

타임라인 만들기

파일 시스템 메타데이터

이벤트 로그

윈도우 XP

윈도우 7

프리페치 파일

레지스트리 데이터

추가적인 소스

타임라인으로 이벤트 파싱하기

시각화에 대한 의견

사례연구

요약

 

CHAPTER 8 애플리케이션 분석

시작

로그 파일

동적 분석

네트워크 캡처

애플리케이션 메모리 분석

요약

참조

 

 

 

이 책의 구성

 

 

제1장: 분석 개념

 

이 장은 다른 책과 토론에서는 왠지 모르게 눈에 띄게 부족한 부분이지만 내가 보기에 우리가 하는 일에서 아주 중요하다고 생각되는 수사/분석 개념을 다룬다. 디지털 포렌식 분석 커뮤니티에 속한 전문가로서 우리가 하는 일의 중심에는 여러 개념들이 있지만 (지금 현재로는) 이런 종류의 정보를 관리하고 통제할 통합된 권한이 (아직) 없는 반면 이런 개념은 우리가 하는 일에서 절대적으로 중요하다. 컨퍼런스에서 발표하거나 누군가와 일대일로 분석에 대해 토론하면서 이런 개념을 이야기할 때면 “빛이 떠오르는 것”을 느낀다.

 

이런 개념이 지극히 중요한 이유는 우리가 단순히 획득한 이미지를 포렌식 분석 애플리케이션에 로드하고 버튼만 누르면 분석 결과가 나오는 것이 아니기 때문이다. 이것으로는 아무것도 얻을 수 없다. 예상한 결과가 나오지 않거나 예상했던 대로 동작하지 않을 때 우리는 무엇을 해야 할까? 우리는 그것을 어떻게 다루고 처리할까? 우리가 하는 것을 문서화하고 다른 도구로 넘어갈까? 나는 그러길 바란다 ― 나는 분석가들이 도구나 애플리케이션이 만든 결과가 무엇이든 그것을 숙고하지 않고 그냥 받아들이는 것을 너무도 많이 보았고 또 그렇게 한다는 이야기를 들었다. 운영체제와 목표는 변할 수 있지만 핵심 개념은 변하지 않으며 분석가들은 분석할 때 이런 개념을 반드시 이해하고 실천해야만 한다.

 

 

제2장: 즉각 대응

 

이 장에서는 사고 인지 직후에 즉각적인 대응이 왜 필요한지 논의한다. 조직은 흔히 그들이 침해 받았음을 다른 조직(은행, 법 집행기관 등)으로부터 통보 받으며 사고가 발생하면 사고 대응 서비스를 제공하는 외부 컨설팅 회사에 바로 연락한다. 일단 계약 관련 문제가 해결되면 컨설턴트가 현지로 파견되고 그들은 도착 즉시 확인된 사항과 기반시설의 “지형”에 관한 정보를 수집한다. 이 모든 일을 하는 데는 추가적인 시간이 필요한데 그 와중에도 잠재적으로 침해 받았을 가능성이 있는 정보와 조직이 직면하는 필연적인 의문 해결에 매우 중요할 정보는 점차 사라지고 만료된다.(이는 기반 시설에서 계속 흘러나오는 민감한 정보에 관한 이야기는 아니다.) 프로세스가 종료되고, 삭제된 파일이 덮여 쓰여지고, 오래된 볼륨 섀도 카피(Volume Shadow Copy, VSC)가 삭제됨과 동시에 새로운 볼륨 섀도 카피가 생성된다. 윈도우 시스템은 유휴 상태일 때조차도 놀랍도록 활발히 움직인다. 따라서 대응 활동의 즉각적인 시작이 무엇보다 중요하다. 조직의 기반시설에 익숙하지 않은 외부의 누군가가 현장에 도착하기만을 기다려서는 안 된다.

 

 

제3장: 볼륨 섀도 카피

 

볼륨 섀도 카피가 있다는 사실은 디지털 포렌식 커뮤니티에서 비교적 잘 알려져 있기는 하지만 그렇다고 그것이 분석가들이 잘 활용할 수 있음을 의미하지는 않는다. 많은 디지털 포렌식 분석이 시스템에서 획득한 이미지를 사용하기 때문에 이 장에서는 분석가들이 동작 중인 시스템과 상호작용하거나 값비싼 솔루션을 사지 않고도 VSC 안에 있는 풍부한 정보에 접근할 수 있는 방법에 대해 다룬다.

 

 

제4장: 파일 분석

 

이 장에서는 윈도우 시스템에 있는 일반적인 파일 분석뿐만 아니라 윈도우 7(또는 비스타)에서 새로 도입된 파일과 그 데이터 구조는 물론 연구와 실험을 통해 이전보다 더 많은 것이 확인되고 밝혀진 파일을 다룬다. 윈도우 7에는 형식이 바뀐 파일과 새로 만들어진 파일이 있는데 분석가는 이 둘을 모두 이해해야 한다. 예를 들어 점프 리스트는 윈도우 7에서 새로 도입되었으며 그 중 일부는 컴파운드 다큐먼트 바이너리 포맷(compound document binary format, MS Office 2007 이전 버전에서 주로 사용된 파일 형식)과 주로 윈도우 바로가기 파일에서 볼 수 있는 SHLLINK 포맷을 함께 사용한다. 그렇기 때문에 점프 리스트는 수사에서 매우 중요할 수 있는 정보(메타데이터 포함)를 상당수 가지고 있을 수 있다.

 

 

제5장: 레지스트리 분석

 

이 장에서는 다른 소스에서 이미 다룬 정보 가운데 일부를 다루면서 그것보다 한 걸음 더 나아갈 것이다(가장 대표적인 소스는 《윈도우즈 레지스트리 포렌식》(비제이퍼블릭)). 이 장은 다른 소스에 있는 정보를 반복하기보다 그런 정보를 기반으로 윈도우 7 레지스트리에서 특징적으로 나타난 추가적인 정보를 다룬다.

 

 

제6장: 멀웨어 탐지

 

이상하게 들리겠지만 이 장의 제목에는 “분석”이라는 단어가 들어있지 않다. 왜냐하면 정적 멀웨어 분석이나 동적 멀웨어 분석 그 어느 것도 다루지 않기 때문이다. 그대신 디지털 포렌식 커뮤니티에서 매우 중요해지고 있는 특별한 유형의 분석을 살펴본다. 그것은 바로 획득한 윈도우 시스템 이미지에서 멀웨어가 있는지 없는지 탐지하는 방법이다. 나는 업무상 시스템에 있을지 모르는 멀웨어에 대한 확인 요청과 함께 상당히 많은 이미지를 받는다. 그런 요청에는 약간의 추가적인 정보가 같이 오기도 하는데, 특정 멀웨어 변종의 이름이나 멀웨어 식별에 도움이 되는 특별한 정보 또는 아티팩트가 그것이다. 멀웨어 개발자들이 그들의 코드를 상용 안티바이러스 스캐닝 애플리케이션으로부터 숨기는 데 매우 능숙하다는 것을 고려할 때 분석가들은 획득한 이미지에 있는 멀웨어를 탐지하기 위해 그들의 도구세트에 또 다른 도구(가급적이면 처리절차)가 필요하다.

 

 

제7장: 타임라인 분석

 

디지털 포렌식 분석에 적용한다면 타임라인 분석이라는 아이디어는 이미 상당히 오래 전부터 있어왔다. SANS의 롭 리(Rob Lee)는 2000년 그 훨씬 이전에 이미 제한된 형태의 타임라인 분석을 이야기했다. 시간이 흐르면서 우리는 윈도우 시스템이 얼마나 많은 타임-스탬프 정보를 추적관리하며 그것들이 잠재적으로는 우리가 하는 분석에 극히 중요할 수 있음을 알게 되었다. 또한 이런 타임-스탬프 정보의 상당수는 애플리케이션이나 멀웨어가 시스템에서 삭제된 이후에도 계속해서 남아있는 아티팩트에 들어있으며 그것들은 타임라인 분석을 통해 드러날 수 있다. 게다가 다수의 데이터 소스에서 가져온 타임-스탬프 데이터를 하나의 타임라인으로 모으면 조사를 훨씬 더 값진 것으로 만들 수 있다.

 

 

제8장: 애플리케이션 분석

 

이 장에서는 보통은 동적 멀웨어 분석과 관련 있는 여러 개념과 기술을 논의하겠지만 여기서는 좀 더 일반적인 접근 방법을 사용한다. 분석가는 조사 중에 다수의 애플리케이션과 만나는데, 많은 경우 분석가가 답을 찾아야 하는 의문(예, 분석의 목적)은 바로 어떤 아티팩트가 기본 애플리케이션 활동의 결과인지 아니면 특정 사용자 활동의 결과인지를 밝혀내는 것이다.

 

 

출판사 리뷰

 

 

이 책은 디지털 포렌식 분석(특히 윈도우 7)을 더 많이 이해하기를 원하는 사람들을 위해 쓰여졌다. 디지털 포렌식 분석가, 사고 대응가, 학생, 법 집행관, 연구가 또는 단지 윈도우 7 디지털 포렌식 분석에 관심 있는 이라면 누구나 해당된다. 모든 시스템 관리자와 그런 취미가 있는 사람은 이 책에서 유용한 정보를 얻을 수 있다.

 

여러분은 이 책을 읽으면서 펄 스크립트 언어로 만든 여러 도구를 보게 될 것이다. 미리 걱정할 필요는 없다. 그런 스크립트는 전문가가 아니더라도 사용할 수 있다. 스크립트들은 사용하기 매우 간단할 뿐만 아니라 대부분의 경우 “Perl2.exe”(http://www.indigostar.com/perl2exe.php)로 컴파일된 윈도우 실행 파일을 함께 가지고 있다. 여러분이 직접 RegRipper 플러그인을 만들고 싶은 경우에는 약간의 프로그래밍 능력이 도움될 테지만, 펄 프로그래밍 기술과 거의 관련 없는 사람도 이 특별한 도구의 플러그인을 만들 수 있다. 어떤 사람은 RegRipper 같은 도구를 다른 언어로 재작성하고 있는데, 그 이유는, 다시 말하지만 문제를 해결하기 위해 여러분이 사용하는 도구와 관련된 게 아니라 문제 해결 그 자체와 관련 있다.