HOME > Detail View

Detail View

악성코드와 멀웨어 포렌식 (Loan 15 times)

Material type
단행본
Personal Author
Aquilina, James M Casey, Eoghan, 저 Malin, Cameron H, 저 박재호, 역
Title Statement
악성코드와 멀웨어 포렌식 / 제임스 아퀼리나, 에이헨 케이시, 카메론 말린 지음 ; 박재호 옮김
Publication, Distribution, etc
의왕 :   에이콘,   2012  
Physical Medium
837 p. : 삽화 ; 25 cm
Series Statement
에이콘 디지털 포렌식 시리즈 ;2
Varied Title
Malware forensics : investigating and analyzing malicious code
ISBN
9788960773493 9788960773509 (set)
Bibliography, Etc. Note
참고문헌과 색인수록
Subject Added Entry-Topical Term
Computer viruses Computer security Computer crimes -- Investigation
000 01217camcc2200373 c 4500
001 000045729720
005 20130214095627
007 ta
008 121015s2012 ggka b 001c kor
020 ▼a 9788960773493 ▼g 94560
020 1 ▼a 9788960773509 (set)
035 ▼a (KERIS)BIB000012948864
040 ▼a 211006 ▼c 211006 ▼d 221022 ▼d 244002 ▼d 211009
041 1 ▼a kor ▼h eng
082 0 4 ▼a 005.84 ▼2 23
085 ▼a 005.84 ▼2 DDCK
090 ▼a 005.84 ▼b 2012
100 1 ▼a Aquilina, James M
245 1 0 ▼a 악성코드와 멀웨어 포렌식 / ▼d 제임스 아퀼리나, ▼e 에이헨 케이시, ▼e 카메론 말린 지음 ; ▼e 박재호 옮김
246 1 9 ▼a Malware forensics : ▼b investigating and analyzing malicious code
260 ▼a 의왕 : ▼b 에이콘, ▼c 2012
300 ▼a 837 p. : ▼b 삽화 ; ▼c 25 cm
440 0 0 ▼a 에이콘 디지털 포렌식 시리즈 ; ▼v 2
504 ▼a 참고문헌과 색인수록
650 0 ▼a Computer viruses
650 0 ▼a Computer security
650 0 ▼a Computer crimes ▼x Investigation
700 1 ▼a Casey, Eoghan, ▼e
700 1 ▼a Malin, Cameron H, ▼e
700 1 ▼a 박재호, ▼e
900 1 0 ▼a 아퀼리나, 제임스, ▼e
900 1 0 ▼a 케이시, 에이헨, ▼e
900 1 0 ▼a 말린, 카메론, ▼e

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.84 2012 Accession No. 121223390 Availability Available Due Date Make a Reservation Service B M
No. 2 Location Sejong Academic Information Center/Science & Technology/ Call Number 005.84 2012 Accession No. 151313604 Availability Available Due Date Make a Reservation Service
No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.84 2012 Accession No. 121223390 Availability Available Due Date Make a Reservation Service B M
No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Sejong Academic Information Center/Science & Technology/ Call Number 005.84 2012 Accession No. 151313604 Availability Available Due Date Make a Reservation Service

Contents information

Book Introduction

최근 관심이 집중되고 있는 '현장 포렌식' 분야에서 디지털 조사관들이 중요한 범죄 증거를 수집하고 획득하기 위한 방법을 자세하게 설명하는 실무서다. 특정 운영체제에서 동작하는 특정 도구만 다루는 책이나 원론적인 이론만 다루는 책과는 달리, 멀웨어로 인해 문제가 발생한 시스템에서 악성 코드를 찾아내고 감염에 따른 영향을 파악하기 위해 기술적인 맥락에서 현장 보존부터 사후 분석까지 디지털 포렌식의 전체 주기를 다룬다. 또한 윈도우와 리눅스 운영체제를 대상으로 휘발성 증거 보존과 수집, 물리 메모리와 프로세스 메모리 덤프, 멀웨어와 증거물 추출, 의심스런 파일 식별과 프로파일링, 악성 코드 정적 분석과 동적 분석 기법을 시나리오와 현장 사례 연구를 들어 단계별로 설명한다.

악성코드 포렌식에 대한 유일한 실전 지침서!

전염성이 있는 웜, 봇넷, 루트킷, 트로이목마 프로그램(멀웨어로 알려진) 같은 인터넷의 어두운 측면을 상세히 분석한다. 상세하고 자세한 이 지침서는 멀웨어를 격리해 포렌식 연구실 환경에서 실험하는 내용부터 의심스런 코드를 해부해 기원과 공격자를 조사하는 과정에 이르기까지 악성코드 사고에 대응하기 위한 완벽한 과정을 설명한다. 실제 조사 경험이 풍부한 보안 전문가가 작성한 이 책은 해당 주제에 대해 가장 교육적인 내용을 담았으며, 특수 도구, 그림, 사례, 연습, 점검 목록을 사용해 독자에게 실질적이면서 단계적인 기술과 법적 지침을 제공한다.


★ 아마존 독자들의 극찬을 받은 포렌식 분야 최고의 책 ★

멀웨어 포렌식을 시작하는 최고의 책 ★★★★★
컴퓨터 포렌식과 멀웨어 분석을 하는 입장에서, 시중에 나온 책 중에서 멀웨어 분석 기법을 익히고 멀웨어 관련 사고에 대응하기 위한 가장 좋은 책이라고 확실하게 말할 수 있다. 참고하기 위해 이 책을 주기적으로 읽어보곤 한다. - 브라이언 헌들리

모든 사람을 위한 책 ★★★★★
멀웨어 분석과 컴퓨터 포렌식에 상대적으로 늦게 입문한 상태에서, 이 책이 얼마나 도움을 줄지 조금 걱정스러웠다. 입문서는 물론이고 참고서로서도 사용 가능한 책을 원했는데, 예상이 딱 들어맞았다. 윈도우와 리눅스를 모두 다루며 전반적으로 참조하기에 특히 유용하다는 생각이다. 이 책의 흐름은 매우 직관적이다. 특히 도구와 기법을 설명하는 기초로 하는 사례 연구가 흥미로웠다. - 책벌레

기업 고객에게 조언하는 조사관이나 변호사들을 위한 필독서 ★★★★★
이 책은 디지털 금고를 털기 위한 열쇠를 훔치려는 인터넷 범죄자로 인해 희생된 회사들을 위해 활동하는 변호사와 조사관들에게 필독서다. 의도는 물론이고 공격의 근원을 파악하는 과정에서 포렌식 조사관들과 기업 희생양이 직면하는 법적 쟁점과 조사 쟁점을 완벽하게 다룬다. - M. 즈와이벡

독보적이다 ★★★★★
IT 분야에서 10년 넘게 있으며, 시류에 뒤처지지 않기 위한 고품격 참고서를 계속해서 찾고 있었다. 이 책은 의문의 여지 없이 지금까지 찾았던 책 중에 가장 완벽하며 즐겁게 읽을만한 악성코드와 멀웨어 서적이다. 예제와 도해는 에두르지 않고 핵심을 찌르며, 전문가에게 아주 유효한 내용을 제공할뿐만 아니라 심지어 다소 기술과 무관한 경험자조차도 조사 과정을 이해하도록 도와준다. 다른 책과는 달리, 이 책은 현장 실무 경험으로만 얻을 수 있는 법적인 과정에 대한 통찰력을 제공한다. - 브라이언 D. 듀헨

닥치고 필독서 ★★★★★
멀웨어 포렌식에 관심이 많고 악성코드를 알고 싶어 하는 모든 사람을 위한 절대적인 필독서다. 이 책은 엄청나게 꼼꼼하며, 멀웨어를 뜯어보고 이를 토대로 분석을 즐기기 위한 단계별 과정을 제공한다. 또한 독자들이 악성 코드 개발자의 심리를 파악하도록 안내하며, 코드의 예상 동작 방식을 설명한다. - 네일 와링

완벽한 지침서 ★★★★★
이 책은 윈도우와 리눅스 기반 시스템에서 멀웨어 사고 대응 방법을 이해하기 위한 귀중한 참고서다. 저자들은 단계별로, 사례 연구 방식으로 접근하며, 긴급 대응 포렌식 과정부터 메모리 분석을 거쳐 사후 포렌식에 이르기까지 독자들에게 걸어야 할 길을 안내하는 멋진 성과를 거뒀다. 각 장은 사례 연구를 들어 깊숙하게 다양한 도구 사용법을 설명하고 풍부한 대안 도구를 독자들이게 제시한다. 두껍고 분량이 많긴 하지만, 멀웨어 사고에 대응하기 위한 훌륭한 동반자이자, 호기심을 자극하고 즐거움을 주는 필독서가 될 것이다. - 더스티 유케일리


★ 이 책에서 다루는 내용 ★

■ 동작 중인 윈도우와 리눅스 시스템에서 휘발성 자료 수집과 검사
■ 윈도우와 리눅스 시스템에서 멀웨어 증거물을 찾기 위한 물리 메모리와 프로세스 메모리 덤프 분석
■ 유닉스와 윈도우 시스템에서 증거물 발견과 추출


★ 이 책의 구성 ★

1장 멀웨어 사고 대응: 동작 중인 윈도우 시스템에서 휘발성 자료 수집과 검사
휘발성 자료 보존의 가치를 이해하고 포렌식 관점에서 이런 자료를 건전한 방법으로 보존하는 실전 지침을 확인한다.

2장 멀웨어 사고 대응: 동작 중인 리눅스 시스템에서 휘발성 자료 수집과 검사
포렌식 관점에서 리눅스 기계로부터 휘발성 자료를 보존하는 건전한 방법론을 연구하고, 사례 연구를 활용해 운영체제에 존재하는 정보의 강점과 약점을 설명한다.

3장 메모리 포렌식: 멀웨어 관련 증거물에 대한 물리적인 메모리 덤프와 프로세스 메모리 덤프 분석
다양한 도구를 활용해 윈도우와 리눅스 시스템으로부터 메모리 덤프와 프로세스 메모리 내용을 획득할 수 있는 방법을 제공하고, 핵심 메모리 구조체와 해석 방법을 설명한다.

4장 사후 분석 포렌식: 윈도우 시스템에서 멀웨어 관련 증거물 발견과 추출
하드 드라이브의 포렌식 복제로부터 유용한 정보를 복구하는 포렌식 검사 기법을 알아보며, 윈도우 컴퓨터에서 멀웨어가 생성한 일반적인 증거물의 예를 살펴본다.

5장 사후 분석 포렌식: 리눅스 시스템에서 멀웨어 관련 증거물 발견과 추출
멀웨어 사고와 관련된 리눅스 컴퓨터용 검사 방법론을 실례를 들어 살펴본다. 이런 포렌식 검사 방법론은 보안에 문제가 생긴 호스트나 악성코드의 동작 방식을 배우기 위해 의도적으로 멀웨어에 감염시킨 테스트 시스템 모두에 적용할 수 있다.

6장 법적인 고려사항
멀웨어 포렌식 조사 과정에서 밝혀낸 자료와 디지털 증거물의 접근, 보존, 수집, 이동에 관련된 몇 가지 요구 사항과 제약을 알아본다.

7장 파일 식별과 프로파일링: 윈도우 시스템에서 의심스런 파일의 초기 분석
윈도우 시스템에서 의심스런 파일의 초기 분석을 수행하기 위한 방법론, 기법, 도구를 배운다.

8장 파일 식별과 프로파일링: 리눅스 시스템에서 의심스런 파일의 초기 분석
리눅스 환경에 초점을 맞춰 의심스런 파일의 초기 분석을 수행하기 위한 방법론, 기법, 도구를 배운다.

9장 의심스런 프로그램 분석: 윈도우
동적 분석과 정적 분석 기법을 사용해 윈도우 시스템에서 의심스런 프로그램의 특질과 기능에 대한 풍부한 정보를 얻는다.

10장 의심스런 프로그램 분석: 리눅스
리눅스 환경에 초점을 맞춰 동적 분석과 정적 분석 기법을 사용해 의심스런 프로그램의 특질과 기능에 대한 풍부한 정보를 얻는다.


★ 저자 서문 ★

지난 몇 년 동안 악의적이고 불법적인 용도로 개발된 프로그램이 급격히 늘어났다. 2008 시만텍 인터넷 보안 위협 보고서는 이전 12개월 동안 백만 개가 넘는 컴퓨터 바이러스가 만들어져 시중에 돌아다닌다고 발표했다. F시큐어를 비롯한 다른 안티바이러스 업체도 2007년 이래 신규 바이러스가 급격하게 증가했다는 비슷한 내용을 발표했다. 과거에는 악성코드를 기능과 공격 매개체에 따라 명확하게 분류해 왔다(예: 바이러스, 웜, 트로이 목마). 오늘날의 멀웨어는 모듈화돼 있으며 다방면에 걸친 기능을 탑재하고 있다. 다시 말해 특정 범주에 딱 맞기보다는 다양한 기능과 여러 전파 수단으로 무장하고 '혼합형 위협'을 가하는 멀웨어 표본이 늘어나고 있다. 이런 멀웨어 중 상당수는 계속 늘어나고 있는 조직적이며 전문적인 컴퓨터 범죄자들을 지원하기 위해 만들어졌다.

뿐만 아니라 범죄자들은 컴퓨터를 통제하고 개인적인 비밀이나 이익을 얻기 위해 독점 정보를 훔쳐내는 데 멀웨어를 광범위하게 활용한다. 2008년 4월, 스크립트 'nihaorr1.com/1.js'를 데이터베이스에 밀어 넣기 위한 새로운 SQL 인젝션 취약점을 악용한 광범위한 공격이 있었다. 개인이 감염된 웹사이트에 접근할 때 '1.js' 스크립트는 브라우저를 www.nihaorr1.com으로 접속하게 만든 후 웹 브라우저 세계에 알려진 다양한 취약점을 사용해 암호 가로채기 프로그램을 설치하려 든다.

게다가 일부 국가에서는 산업 스파이나 군사 스파이를 지원할 목적으로 특수한 멀웨어를 개발하는 고도로 숙달된 해커 팀에 투자하고 있다.

범죄를 저지르고 감추기 위해 멀웨어를 사용하는 사례가 늘어남에 따라 과거 백신 업체와 보안 연구원만의 전유물이었던 멀웨어 분석 기법과 도구를 점점 더 많은 디지털 조사관들이 적극 활용한다.

이 책의 집필 목적은 디지털 조사관들이 컴퓨터 시스템에서 멀웨어를 파악하고 멀웨어를 분해해 기능과 목적을 파헤치고, 목표 시스템에 침투한 악성 멀웨어를 찾아내는 작업을 돕는 데 있다. 관련된 도구와 각종 기법을 보여주기 위해 책 전반에 걸쳐 실제 사례를 다루는 시나리오를 사용했다. 또한 멀웨어 분석을 포렌식 분야에 적용할 목적으로, 디지털 조사관들이 임무를 안정적, 반복적, 방어적, 체계적으로 문서화된 방법에 따라 수행하기 위한 방법론을 제공하며, 법적인 고려 사항을 설명한다.

★ 옮긴이의 말 ★

요즘 들어 컴퓨터와 관련된 범죄 소식이 부쩍 늘어나는 느낌이다. 2011년 한 해만 하더라도 제2금융권 회원 정보가 유출돼 고객 정보가 새나가는 바람에 일대 소동이 벌어졌고, 이를 비웃듯 제1금융권 서버 센터가 공격을 받아 며칠 동안 금융 거래가 중단되는 초유의 사태가 벌어졌으며, 3500만 명에 이르는 회원을 보유한 포털 사이트가 해킹됨으로써 사실상 전 국민의 개인 정보가 모두 노출되는 심각한 사태에 직면했다. 그리고 서울시장 보궐 선거 당시에는 선관위 홈페이지까지 공격 받음으로써 경제, 사회 분야는 물론이고 정치 분야까지 검은 먹구름이 드리웠다. 무차별적인 스팸 메일 전송은 이미 옛날이야기가 돼버렸고, 봇과 악성코드를 동원한 분산 서비스 거부 공격은 물론이고 신원 도용과 사이버 테러까지 거의 모든 유형의 공격에서 대한민국도 더 이상 자유롭지 않은 상황이 돼버린 셈이다. 과거에는 호승심을 발휘해 자신을 드러내기 위해 사이버 범죄를 저질렀다면 요즘에는 돈을 목적으로 하기 때문에 기업화된 체계적인 공격으로 인해 피해 규모도 점점 더 커지는 상황이다.

이런 상황에서 어떻게 대응해야 할까? 전 세계가 사실상 거대한 네트워크로 묶여 있는 상황에서 팔짱 끼고 강 건너 불구경하는 상황은 이미 지났고 완벽한 방어를 하지 못하더라도 최소한 상황을 악화시키지 않도록 사태 파악과 대응에 필요한 전문 지식을 갖춰야 한다. 하지만 인터넷에 떠도는 단편적인 지식을 모은다고 해서 효과적인 대응 방안이 저절로 나오기를 기대하는 것은 폐차장에 모아놓은 자동차 고철 더미가 강풍에 합쳐져 전투기가 만들어지리라 기대하는 바와 다름 아니다. 하지만 이런 어려운 상황을 도와주기 위해 『악성코드와 멀웨어 포렌식』이라는 실전 지침서가 나왔다. 이 책은 악성코드 사고에 대응하기 위해 멀웨어를 찾아내고 기능을 분석하고 대응책을 마련하는 완벽한 지침을 제공한다. 단순한 프로그램 설명이나 교과서적인 이론은 완전히 배제하고, 윈도우와 리눅스 시스템에 침투한 멀웨어를 사실상 실전에 가깝게 철저하게 파고드는 방법을 사례 연구를 곁들여 설명한다.

멀웨어 분석과 대응은 리눅스/윈도우 프로그래밍 분야에서 중요한 리버스 엔지니어링/디버깅과 겹치는 부분이 상당히 많으므로 시스템에 대해 충분한 지식과 저수준 C 프로그래밍 기법을 이해하고 필요에 따라서는 컴파일러 최적화나 메모리 덤프를 사용한 호출 스택 확인과 같은 고급 기법도 이해하고 있어야 한다. 멀웨어가 됐든 오픈소스 소프트웨어가 됐든 유지 보수가 됐든 남이 만든 프로그램을 이해해야 한다는 커다란 목표는 동일하므로, 보안 분야에 몸담지 않더라도 보안에 어느 정도 관심이 있는 전문 프로그래머라면 이 책에 나오는 다양한 기법을 눈여겨보고 다른 분야에도 응용이 가능할 것이다.

이 책은 처음부터 끝까지 철저하게 기술서를 표방함에도 불구하고 (미국과 유럽 쪽에 주로 해당하는 내용이긴 하지만) 법적인 관점에서 체계적으로 사고 대응에 나서는 방법도 조언한다. 물론 이 책 한 권만으로 변호사의 전문적인 법률 컨설팅을 완벽하게 대체한다고 보기는 어렵지만, 악성코드 분석가들이 알아야 하는 기본적인 법률 지식과 주의 사항을 충분히 설명하고 있으므로 기본기를 다지기에 부족함이 없어 보인다. 실제 수사 기관과 법률 기관에 오랫동안 근무한 베테랑급 분석가에다가 FBI의 보안 전문 특수 요원까지 가세해서 이 책을 만들었으므로 기존의 보안서와는 또 다른 실무적인 통찰력을 제공하리라 확신한다.

이 책을 번역하는 과정에서 본문에 나오는 모든 URL을 검토해 최신 정보로 업데이트하려고 노력했지만, M&A가 잦고 은밀하게 물밑에서 움직이는 보안업계의 특성상 언제든지 사라지거나 위치가 바뀔 수 있다는 사실을 기억하자. 또한 책에 나오는 소프트웨어의 버전과 기능도 지속적으로 바뀌므로 책을 읽는 도중에 추가 정보를 얻기 위해 인터넷 검색 엔진에서 최신 정보를 습득할 필요가 있다. 지금은 업데이트가 중단된 상태지만 이 책(원서)의 공식 사이트인 http://www.malwareforensics.com/에서 여러 가지 윈도우/리눅스 기반 분석 도구와 온라인 자원에 대한 링크를 제공하므로 책을 읽으면서 참조하면 도움이 되겠다.


Information Provided By: : Aladin

Author Introduction

제임스 아퀼리나(지은이)

스트로츠 프리드버그(Stroz Friedberg)의 전무이사 겸 부 법률고문으로 일반 관리와 법률 업무를 취급하고 로스앤젤레스, 샌프란시스코, 시애틀 사무소를 책임지고 있다. 정부 기관 주요 법률회사, 기업의 관리 및 정보 시스템 부서와 협력해 다양한 민/형사 사건, 규제 관련 문제뿐만 아니라 데이터 유출, 전자 위조, 전자기록 인멸(wiping), 대량 삭제, 횡령, 기밀 정보 유출, 컴퓨터를 사용한 영업 기밀 절도, 불법적 전자 감시와 같은 내부 기업 문제에 대한 수많은 디지털 포렌식 및 인터넷 수사, 전자적 증거 수집 임무를 수행하고 있다. 저자진은 『악성코드와 멀웨어 포렌식』(에이콘출판 2012)과 『실전 윈도우 악성코드 포렌식』(에이콘출판, 2015)을 공동 저술했다.

에이헨 케이시(지은이)

국제적인 범위의 네트워크 침입 등의 광범위한 조사 분야에서 디지털 증거물을 분석하고 보안 침해에 맞서는, 사고 대응과 디지털 포렌식 분석가다.

카메론 말린(지은이)

미 연방수사국(FBI)의 특수요원이며, 컴퓨터 침입과 악성코드 사고 조사를 담당하고 있다. FBI에서 근무하기 전에는 플로리다 주의 마이애미에서 검사보(ASA)와 미 연방 특별검사보(SAUSA)를 역임하면서 컴퓨터 범죄 기소를 담당했다. 검사보로 재직하는 동안, 조지 워싱턴 대학에서 컴퓨터 사기에 관한 석사 과정 프로그램의 조교수로 활동했다. 저자진은 『악성코드와 멀웨어 포렌식』(에이콘출판 2012)과 『실전 윈도우 악성코드 포렌식』(에이콘출판, 2015)을 공동 저술했다.

박재호(옮긴이)

전 ICON 치프 아키텍트(Chief Architect). 임베디드 시스템 개발, 기업용 백업 소프트웨어 개발, 방송국 콘텐츠 수신제한 시스템 개발과 운영 지원, 클라우드에서 동작하는 서비스 개발에 이르기까지 다양한 실무 경험을 토대로 고성능 고가용성 시스템을 설계하고 있다. 집필 및 번역한 책이 40여 권에 이른다. - 『English for Developers』(한빛미디어, 2015) 공저 - 『조엘 온 소프트웨어』(에이콘출판, 2005) 공역 - 『Clean Code 클린 코드』(인사이트, 2013) 공역

Information Provided By: : Aladin

Table of Contents

목차
아마존 서평 = 4
저자 소개 = 6
감사의 글 = 10
기술 감수자 소개 = 12
옮긴이 소개 = 13
옮긴이의 말 = 14
들어가며 = 31
01장 멀웨어 사고 대응: 동작 중인 윈도우 시스템에서 휘발성 자료 수집과 검사 = 29
 개요 = 49
 실시간 대응 툴킷 제작 = 50
  도구에 대한 테스트와 검증 = 54
   시스템/호스트 무결성 감시 = 54
 휘발성 자료 수집 방법 = 57
  휘발성 자료 보존 = 58
   전체 메모리 캡처 = 61
   동작 중인 윈도우 시스템에서 전체 메모리 확보 = 62
  표적 시스템의 세부 사항 수집 = 66
   시스템 시각과 날짜 = 67
   시스템 식별자 = 68
   네트워크 구성 = 69
   활성화된 프로토콜 = 70
   시스템 가동 시간 = 71
   시스템 환경 = 72
  시스템에 로그온한 사용자 파악 = 74
   psloggedon = 75
   Quser = 76
   netusers = 76
   LogonSessions = 77
  네트워크 연결과 활동 상황 검사 = 77
  현재/최근 네트워크 연결 = 77
   netstat = 78
   표적 시스템에서 만들어진 DNS 질의 = 80
   NetBIOS 연결 = 81
   ARP 캐시 = 84
 프로세스 정보 수집 = 85
  프로세스 이름과 프로세스 식별자 = 86
   시간적인 문맥 = 77
   메모리 사용 = 90
  프로세스에서 실행 파일 찾아내기: 실행 파일 전체 경로 = 91
   프로세스의 사용자 찾아내기 = 95
   자식 프로세스 = 96
   커맨드라인 매개변수 = 97
   파일 핸들 = 98
  동작 중인 프로세스가 메모리에 올린 의존성 = 100
   외부로 공개된 DLL = 103
   동작 중인 윈도우 시스템에서 프로세스의 메모리 내용 캡처 = 104
 열린 포트를 동작 중인 프로세스나 프로그램과 관련짓기 = 104
  openports = 107
  CurrPorts = 109
 서비스와 드라이버 파악 = 111
  열린 파일 파악 = 116
   로컬에서 열린 파일 파악 = 117
   원격에서 열린 파일 파악 = 118
  명령 히스토리 수집 = 119
  공유 리소스 파악 = 120
 스케줄된 작업 파악 = 121
 클립보드 내용 수집 = 123
 동작 중인 윈도우 시스템에서 비휘발성 자료 수집 = 125
 동작 중인 윈도우 시스템에서 포렌식용 저장 매체 복제 = 126
 동작 중인 윈도우 시스템에서 포렌식용 관련 자료 보존 = 127
  보안 구성 진단 = 128
  신뢰하는 호스트 관계 수집 = 128
  프리패치 파일 검사 = 130
  자동 실행 위치 파악 = 131
  이벤트 로그 수집 = 133
   사용자 계정과 그룹 정책 정보 검토 = 135
   파일 시스템 검사 = 136
   레지스트리 내용 덤프와 해석 = 137
   웹 브라우저 활동 검사 = 138
 윈도우용 사고 대응 도구 스위트 = 140
  WFT = 141
   ProDiscoverIR = 142
   Onlin DFS/LiveWire = 144
   RPIER = 146
   Nigilant32 = 147
  동작 중인 윈도우 시스템에서 멀웨어 탐색과 추출 = 149
   Nigilant32 = 150
   의심스러운 파일 추출 = 152
 정리 = 154
 참고 자료 = 155
02장 멀웨어 사고 대응: 동작 중인 리눅스 시스템에서 휘발성 자료 수집과 검사 = 157
 개요 = 158
 휘발성 자료 수집 방법 = 158
  리눅스용 사고 대응 도구 스위트 = 162
  동작 중인 유닉스 시스템에서 전체 메모리 덤프 = 165
  동작 중인 유닉스 시스템에서 프로세스 메모리 보존 = 166
  표적 시스템 세부 내역 수집 = 168
  시스템에 로그인했던 사용자 파악 = 170
  네트워크 연결과 활동 파악 = 172
  프로세스 정보 수집 = 174
  /proc 디렉터리에 위치한 휘발성 자료 = 176
  열린 파일과 의존성 = 178
  메모리에 올라온 모듈 조사 = 179
  명령 히스토리 수집 = 180
  마운트된 공유 드라이브 알아내기 = 181
  예약 작업 파악 = 182
 동작 중인 리눅스 시스템에서 비휘발성 자료 수집 = 182
  동작 중인 리눅스 시스템에서 포렌식용 저장 매체 복제 = 182
  동작 중인 리눅스 시스템에서 포렌식용 관련 자료 보존 = 183
  보안 구성 평가 = 184
  신뢰하는 호스트 사이에 맺어진 관계 평가 = 184
  로그인과 시스템 로그 수집 = 185
 정리 = 187
03장 메모리 포렌식: 멀웨어 관련 증거물에 대한 물리적 메모리 덤프와 프로세스 메모리 덤프 분석 = 191
 개요 = 192
 메모리 포렌식 방법론 = 195
 구식 메모리 분석 기법 = 196
 윈도우 메모리 포렌식 도구 = 202
  메모리로 깊이 파고들기 = 205
 활성, 비활성, 은닉 프로세스 = 2074
  프로세스 메모리 = 213
  스레드 = 215
  모듈과 라이브러리 = 216
  열린 파일과 소켓 = 218
 윈도우 메모리 포렌식 도구의 동작 원리 = 219
  가상 메모리 주소 = 219
  프로세스와 스레드 = 222
  실행 파일 복구 = 226
  프로세스 메모리 복구 = 232
 윈도우 시스템에서 프로세스 메모리 덤프와 분석 = 232
  실시간 대응 과정에서 동작 중인 프로세스 파악 = 233
 프로세스 캡처와 메모리 분석 = 235
  userdump로 프로세스 메모리 수집 = 235
  pmdump를 사용한 프로세스 메모리 획득 = 239
  RAPIER로 동작 중인 프로세스 메모리 수집 = 241
  Process Dumper로 프로세스 메모리 획득 = 242
 리눅스 메모리 포렌식 도구 = 246
  프로세스 메타데이터 = 247
 리눅스 메모리 포렌식 도구의 동작 원리 = 248
  메모리 구조체의 위치 = 249
  프로세스 = 250
  추가적인 메모리 구조체 = 255
 리눅스 시스템에서 프로세스 메모리 덤프와 분석 = 255
  시스템에서 벌어지는 프로세스 활동 내역 = 27
  ps로 프로세스에 대한 정보 획득 = 258
  lsof로 프로세스 활동 상태 파악 = 259
  /proc에서 의심스런 프로세스 찾기 = 261
  /proc 디렉터리에서 의심스런 실행 파일 복사 = 262
 프로세스 메모리 캡처와 검사 = 265
  gcore를 사용한 코어 프로세스 이미지 덤프 = 265
  pcat으로 프로세스 메모리 획득 = 266
  Memfetch로 프로세스 메모리 수집 = 267
  Process Dumper로 프로세스 메모리 획득 = 269
  상호 관련이 있는 증거물 = 272
 정리 = 273
 참고 자료 = 274
04장 사후 분석 포렌식: 윈도우 시스템에서 멀웨어 관련 증거물 발견과 추출 = 275
 개요 = 276
 감염된 윈도우 시스템을 포렌식 기법으로 검사 = 277
  시간 분석: 타임라인을 넘어서 = 277
 기능 분석: 윈도우 컴퓨터 복원 = 279
  관계 분석 = 281
  상관관계와 재구성 = 284
 윈도우 시스템에서 멀웨어 발견과 추출 = 288
  알려진 멀웨어에 대한 검색 = 289
   설치된 프로그램 검토 = 293
   프리패치 파일 검사 = 294
   실행 파일 상세 검사 = 295
 서비스, 드라이버 자동 실행 위치, 예약 작업 검사 = 296
  로그 검사 = 297
   사용자 계정 검토 = 300
   파일 시스템 검사 = 303
   레지스트리 검사 = 307
   복원 지점 = 309
   키워드 검색 = 311
 윈도우 시스템에서 멀웨어 발견과 추출을 위한 고급 기법 = 313
 특화된 멀웨어에 대한 해법 = 315
 정리 = 316
05장 사후 분석 포렌식: 리눅스 시스템에서 멀웨어 관련 증거물 발견과 추출 = 317
 개요 = 318
 리눅스 시스템에서 멀웨어 발견과 추출 = 318
  알려진 멀웨어 찾기 = 319
  설치된 프로그램과 잠재적으로 의심스런 실행 파일 검토 = 321
  자동 실행 위치, 예약 작업 상세 검사 = 321
  로그 검사 = 322
  사용자 계정 검토 = 325
  파일 시스템 검사 = 326
  키워드 검색 = 334
 정리 = 336
06장 법적인 고려 사항 = 341
 개요 = 342
 쟁점 형성 = 342
 조사 권한의 근원 = 344
  재판 관할 권한 = 344
  사적 권한 = 347
 권한의 법적 제약 = 349
  저장된 자료 = 349
  실시간 자료 = 351
   내용 = 351
   비내용 = 353
  보호되는 자료 = 353
   연방법 = 354
   주법 = 358
 자료 수집을 위한 도구 = 360
 국경을 넘는 자료 수집 = 368
 법 집행 참여 = 372
 증거 채택 가능성 높이기 = 376
 참고 자료 = 378
07장 파일 식별과 프로파일링: 윈도우 시스템에서 의심스런 파일의 초기 분석 = 379
 개요 = 380
 사례 연구: 화끈한 새 비디오! = 381
 파일 프로파일링 과정 개괄 = 382
 실행 파일을 대상으로 작업 = 385
  실행 파일을 컴파일하는 방법 = 385
   정적 링크와 동적 링크 = 387
   심볼과 디버그 정보 = 387
   세부 사항 = 389
   해시 값 = 389
   CLI MD5 도구 = 390
   GUI MD5 도구 = 391
 파일 유사성 지수 비교 = 393
 파일 시그니처 파악과 분류 = 397
  파일 유형 = 397
  파일 시그니처 파악과 분류 도구 = 399
   CLI 파일 식별 도구 = 400
   GUI 파일 식별 도구 = 405
   백신 시그니처 = 408
   로컬 멀웨어 검사 = 408
   웹 기반 멀웨어 검사 서비스 = 410
  내부에 숨겨진 증거물 추출: 문자열, 심볼 정보, 파일 메타데이터 = 416
   문자열 = 416
   내부에 숨어있는 문자열을 분석하기 위한 도구 = 419
   파일 의존성 검사: 동적 링크와 정적 링크 = 426
 심볼과 디버그 정보 = 431
  내부에 숨겨진 파일 메타데이터 = 433
 파일 난독화: 패킹과 암호화 파악 = 445
  패커 = 446
  크립토 = 448
   패커와 크립토 감지 도구 = 450
   바인더, 조이너, 래퍼 = 458
 내부에 숨겨진 증거물을 다시 추출 = 459
  윈도우 PE 파일 형식 = 459
   MS-DOS 헤더 = 475
   MS-DOS 스텁 = 477
   PE 헤더 = 478
   데이터 디렉터리 = 483
   섹션 테이블 = 486
 정리 = 487
 참고 자료 = 488
08장 파일 식별과 프로파일링: 리눅스 시스템에서 의심스런 파일의 초기 분석 = 491
 개요 = 492
 파일 프로파일링 과정 개괄 = 494
 리눅스 실행 파일을 대상으로 작업 = 496
  실행 파일을 컴파일하는 방법 = 496
  정적 링크와 동적 링크 = 497
  심볼과 디버그 정보 = 497
  strip 처리된 실행 파일 = 499
  시스템 세부 사항 = 499
  파일 세부 사항 = 499
  해시 값 얻기 = 500
   커맨드라인 MD5 도구 = 501
   GUI MD5 도구 = 502
  파일 유사성 지수 비교 = 504
 파일 시그니처 파악과 분류 = 507
  파일 유형 = 508
  파일 시그니처 파악과 분류 도구 = 511
  백신 시그니처 = 514
   로컬 멀웨어 검사 = 515
   웹 기반 멀웨어 검사 서비스 = 518
 내부에 숨겨진 증거물 추출: 문자열, 심볼 정보, 파일 메타데이터 = 524
  문자열 = 525
  파일 의존성 검사: 동적 링크와 정적 링크 = 533
  GUI 파일 의존성 분석 도구 = 536
  심볼과 디버그 정보 추출 = 539
  내부에 숨겨진 파일 메타데이터 = 558
 파일 난독화: 패킹과 암호화 식별 = 562
  패커 = 563
  크립토 = 564
  래퍼 = 564
  난독화된 파일 파악 = 566
 내부에 숨겨진 증거물을 다시 추출 = 573
 ELF 파일 구조 = 573
  ELF 셸(elfsh) 활용 = 574
  ELF 헤더(Elf32_ehdr) = 574
  ELF 섹션 헤더 테이블(Elf32_shdr) = 578
  프로그램 헤더 테이블(Elf32_Phdr) = 586
  심볼 테이블에서 심볼 정보 추출 = 589
  버전 정보 = 600
  Note 섹션 항목 = 601
  Dynamic 섹션 항목 = 602
  버전 제어 정보 = 616
  objdump로 멀웨어 해석 = 618
 정리 = 621
 참고 자료 = 622
09장 의심스런 프로그램 분석: 윈도우 = 623
 개요 = 624
 목표 = 624
 악성 실행 프로그램을 검사하는 지침 = 626
 환경 기준 수립 = 626
  호스트 무결성 검사 도구 = 627
  설치 감시 도구 = 629
 실행 전 준비: 시스템과 네트워크 감시 = 632
  수동 시스템과 네트워크 감시 기법 = 633
  능동 시스템과 네트워크 감시 기법 = 633
   프로세스 감시 방법 = 633
   파일 시스템 감시 방법 = 634
   레지스트리 감시 방법 = 635
   네트워크 활동 = 640
   포트 = 643
   API 호출 = 645
  악성코드 실행 = 646
 시스템과 네트워크 감시: 파일 시스템, 프로세스, 네트워크, API 활동 = 648
  환경 에뮬레이션과 조정 = 648
   netcat 리스너 활용 = 651
   프로세스 활동 검사 = 653
   프로세스 훔쳐보기: API 호출 감시 = 654
   훔쳐보기: 윈도우 속성 = 658
   파일 시스템 활동 = 659
   레지스트리 활동 = 660
  난독화 해독 = 664
   널리 쓰이는 패킹 해제 도구 = 664
   메모리에서 의심스런 프로세스를 덤프 = 666
   OllyDump를 사용한 OEP 위치 파악과 추출 = 669
   임포트 주소 테이블 재구축 = 673
 내부에 숨겨진 증거물을 다시 보기 = 676
  역어셈블러로 의심스런 프로그램을 검사 = 680
  고급 PE 분석: PE 리소스와 의존성 검사 = 683
  PE 리소스 검사 = 684
   의존성 재탐색 = 695
 멀웨어와 상호 작용 = 697
 악성코드 기능/목적 탐구와 검증 = 701
 사건 재구성과 증거물 검토: 파일 시스템, 레지스트리, 프로세스, 네트워크 활동   사후 자료 분석 = 703
  수동적인 감시 방법: 시스템 변경 내역 분석 = 703
  캡처한 네트워크 트래픽 분석 = 708
  API 호출 분석 = 709
 정리 = 710
10장 의심스런 프로그램 분석: 리눅스 = 713
 개요 = 714
 분석 목표 = 714
  악성 실행 프로그램 검사 지침 = 715
  환경 기준 수립 = 716
 실행 전 준비: 시스템과 네트워크 감시 = 720
  시스템과 네트워크 수동 감시 방법 = 721
  시스템과 네트워크 능동 감시 방법 = 722
   프로세스 감시: 시스템과 라이브러리 호출 감시 = 722
   프로세스 활동과 관련된 /proc/〈pid〉항목 = 722
   파일 시스템 활동 = 723
   네트워크 트래픽 캡처 = 723
   네트워크 시각화 = 725
   포트 = 726
  IDS를 사용한 이상 감지와 사건 기반 감시 = 727
  의심스런 이진 파일 실행 = 730
  프로세스 훔쳐보기: strace, Itrace, gdb를 사용한 의심스런 이진 파일 감시 = 731
  strace로 시스템 호출을 캡처 = 732
  Itrace로 라이브러리 호출을 캡처 = 738
  gdb로 동작 중인 프로세스 검사 = 741
  프로세스 평가: 동작 중인 프로세스 검사 = 744
   top으로 시스템 사용량 평가 = 744
   ps 명령으로 동작 중인 프로세스 검사 = 745
   pstree로 동작 중인 프로세스를 검사 = 746
   프로세스 메모리 맵핑 = 748
   프로세스 메모리 획득과 검사 = 749
  네트워크 연결과 열린 포트 검사 = 750
  열린 파일과 소켓 검사 = 751
  /proc/〈pid〉디렉터리 탐색 = 753
 난독화 해독: 멀웨어에서 방어막 제거 = 755
  파일 프로파일링 다시 보기: 추가 증거물 수집을 위해 난독화가 풀린 멀웨어 재검사 = 756
  환경 조정 = 756
   관찰 가능한 변경 내역과 지속적인 감시 = 759
  공격자처럼 생각하기 = 762
  멀웨어에 대한 통제권 확보 = 763
  멀웨어와 상호 작용하고 조작하기 = 765
  좀비에게 자신을 밝히게 요청 = 766
 좀비에게 공격을 지시 = 767
 공격 기능 검토와 비교 = 767
  가상 '희생양' 시스템에서 공격 개시 = 768
 추가적인 기능과 위협 범위 평가 = 772
  역감시 작업 수행과 감염된 시스템 조사 = 773
  사건 재구성과 증거물 검토 = 774
   시스템 변경 내역 분석 = 775
  캡처된 네트워크 트래픽 분석 = 778
   IDS 경고 분석 = 787
 기타 고려 사항 = 790
  감염된 호스트에 대한 포트와 취약성 점검: 가상 침투 테스트 = 790
   루트킷 검사 = 791
   추가 조사: 정적 분석 기법 = 792
  objdump를 사용한 역어셈블 = 793
  GNU 디버거를 사용한 역어셈블 = 800
   Valgrind(http://valgrind.org)를 사용한 실행 파일 분석 = 802
 정리 = 806
  의심스런 프로그램의 특성과 목적이 무엇일까? = 806
  프로그램이 목적을 달성하기 위해 어떻게 동작하는가? = 806
  프로그램이 호스트 시스템과 어떻게 상호 작용하는가? = 806
  프로그램이 네트워크와 어떻게 상호 작용하는가? = 807
  프로그램이 공격자의 수준에 대해 무엇을 암시하는가? = 807
  호스트를 감염시키는 과정에서 프로그램이 사용한 공격 매개체를 파악했는가? = 807
  시스템이나 네트워크에서 감염이나 문제를 일으킨 범위는? = 807
 참고 자료 = 808
찾아보기 = 809
베타리더 한마디 = 836

New Arrivals Books in Related Fields

이창현 (2021)