HOME > Detail View

Detail View

(디지털 포렌식 전문가를 위한) 실전 리눅스 악성코드 포렌식 (Loan 9 times)

Material type
단행본
Personal Author
Malin, Cameron H. Casey, Eoghan, 저 Aquilina, James M., 저 배영부, 역 권기훈, 역 이원래, 역 양해용, 역
Corporate Author
삼성SDS. 정보보안연구회, 감수
Title Statement
(디지털 포렌식 전문가를 위한) 실전 리눅스 악성코드 포렌식 / 카메론 말린, 오언 케이시, 제임스 아퀼리나 지음 ; 배영부 [외]옮김
Publication, Distribution, etc
의왕 :   에이콘,   2015  
Physical Medium
676 p. : 삽화 ; 26 cm
Series Statement
에이콘 디지털 포렌식 시리즈 = Digital forensics series
Varied Title
Malware forensics field guide for Linux systems
ISBN
9788960777163 9788960773509 (세트)
General Note
공역자: 권기훈, 이원래, 양해용  
감수: 삼성SDS 정보보안연구회  
Bibliography, Etc. Note
참고문헌과 색인수록
Subject Added Entry-Topical Term
Malware (Computer software) --Handbooks, manuals, etc. Computer viruses --Handbooks, manuals, etc. Computer security --Handbooks, manuals, etc. Forensic sciences --Handbooks, manuals, etc. Computer crimes --Investigation --Handbooks, manuals, etc.
000 00000cam c2200205 c 4500
001 000045839190
005 20150723112417
007 ta
008 150723s2015 ggka b 001c kor
020 ▼a 9788960777163 ▼g 94000
020 1 ▼a 9788960773509 (세트)
035 ▼a (KERIS)BIB000013781068
040 ▼a 241008 ▼c 241008 ▼d 211009
041 1 ▼a kor ▼h eng
082 0 0 ▼a 005.8/4 ▼2 23
085 ▼a 005.84 ▼2 DDCK
090 ▼a 005.84 ▼b 2015z1
100 1 ▼a Malin, Cameron H.
245 2 0 ▼a (디지털 포렌식 전문가를 위한) 실전 리눅스 악성코드 포렌식 / ▼d 카메론 말린, ▼e 오언 케이시, ▼e 제임스 아퀼리나 지음 ; ▼e 배영부 [외]옮김
246 3 0 ▼a 리눅스 악성코드 포렌식
246 1 9 ▼a Malware forensics field guide for Linux systems
260 ▼a 의왕 : ▼b 에이콘, ▼c 2015
300 ▼a 676 p. : ▼b 삽화 ; ▼c 26 cm
440 0 0 ▼a 에이콘 디지털 포렌식 시리즈 = ▼x Digital forensics series
500 ▼a 공역자: 권기훈, 이원래, 양해용
500 ▼a 감수: 삼성SDS 정보보안연구회
504 ▼a 참고문헌과 색인수록
630 0 0 ▼a Linux ▼v Handbooks, manuals, etc.
650 0 ▼a Malware (Computer software) ▼v Handbooks, manuals, etc.
650 0 ▼a Computer viruses ▼v Handbooks, manuals, etc.
650 0 ▼a Computer security ▼v Handbooks, manuals, etc.
650 0 ▼a Forensic sciences ▼v Handbooks, manuals, etc.
650 0 ▼a Computer crimes ▼x Investigation ▼v Handbooks, manuals, etc.
700 1 ▼a Casey, Eoghan, ▼e
700 1 ▼a Aquilina, James M., ▼e
700 1 ▼a 배영부, ▼e
700 1 ▼a 권기훈, ▼e
700 1 ▼a 이원래, ▼e
700 1 ▼a 양해용, ▼e
710 ▼a 삼성SDS. ▼b 정보보안연구회, ▼e 감수
900 1 0 ▼a 말린, 카메론, ▼e
900 1 0 ▼a 케이시, 오언, ▼e
900 1 0 ▼a 아퀼리나, 제임스, ▼e
945 ▼a KLPA

Holdings Information

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.84 2015z1 Accession No. 121233731 Availability Available Due Date Make a Reservation Service B M

Contents information

Book Introduction

에이콘 디지털 포렌식 시리즈. 오늘날 보안담당자나 수사관이 포렌식 업무를 수행할 때는 윈도우를 비롯해 리눅스 시스템에 존재하는 웜, 봇넷, 루트킷, 토로이 목마와 같은 악성코드를 분석하고 윈도우 및 기타 로그들과 연관 지어 사고의 원인을 밝히는 역량이 필요하다. 다년간 실제 사건 수사에 참여한 정보보안 전문가들이 쓴 이 책에는 리눅스 운영체제에서 발생하는 침해 사고를 분석하는 데 필요한 도구와 점검 목록, 다양한 사례 분석 내역, 전문가 팁 등이 들어있다.

1장에서는 리눅스 시스템 포렌식에 필요한, 다양한 환경에서 악성코드를 수집하는 기법을 설명하고, 2장에서는 리눅스의 메모리 포렌식을 집중적으로 다루며, 3장에서는 리눅스 시스템을 부검하는 방법에 대해 설명했다. 4장에서는 이러한 작업을 진행함에 있어서 반드시 고려해야 하는 법적인 고려사항과 관련 자료를 언급하고, 5장에서는 6장에서 진행할 정적, 동적 분석 방법에 필요한 프로파일링 기법과 도구를 설명한다.

마지막으로 6장에서는 정적, 동적 분석 방법을 통한 의심스러운 프로그램의 분석에 대해 설명한다. 이렇듯, 이 책은 리눅스 시스템의 포렌식에 필요한 포괄적이며 실무적인 기법과 필요한 도구를 설명함으로써 실무자들에게 필요한 실질적인 지식과 이해를 제공하는 것을 목표로 한다.

★ 요약 ★
오늘날 보안담당자나 수사관이 포렌식 업무를 수행할 때는 윈도우를 비롯해 리눅스 시스템에 존재하는 웜, 봇넷, 루트킷, 토로이 목마와 같은 악성코드를 분석하고 윈도우 및 기타 로그들과 연관 지어 사고의 원인을 밝히는 역량이 필요하다. 다년간 실제 사건 수사에 참여한 정보보안 전문가들이 쓴 이 책에는 리눅스 운영체제에서 발생하는 침해 사고를 분석하는 데 필요한 도구와 점검 목록, 다양한 사례 분석 내역, 전문가 팁 등이 들어있다.

★ 이 책에서 다루는 내용 ★

■ 참고하기 쉽게 매뉴얼 형태로 구성한 분석 도구와 작업 목록
■ 리눅스 시스템의 휘발성 데이터를 수집하고 조사하는 방법
■ 의심스러운 파일을 프로파일링하기 위한 구체적인 기술
■ 현장에서 종종 접하게 되는 법적 고려사항
■ 현장에서 바로 활용할 수 있는 참고자료와 템플릿
■ 전용 웹사이트(www.malwarefieldguide.com)에서 제공하는 최신 도구와 리소스

★ 이 책의 대상 독자 ★

컴퓨터 포렌식 수사관, 분석가를 비롯한 다양한 전문가가 참고할 수 있다.
★ 이 책의 구성 ★

이 책에서는 악성코드 사고를 다루는 전반적인 방법론을 다음과 같이 5단계로 나눈다.

1단계: 포렌식 보존과 휘발성 데이터의 검사 (1장)
2단계: 메모리의 검사 (2장)
3단계: 포렌식 분석: 하드 드라이브의 검사( 3장)
4단계: 알 수 없는 파일의 파일 프로파일링( 5장)
5단계: 악성코드 샘플의 동적 및 정적 분석( 6장)

각 단계마다 정형화된 방법론과 목표는 디지털 조사관이 악성코드 감염을 둘러싼 사건의 생생한 사진을 재구성하는 것을 강조하고 악성코드 자체에 대해 자세히 이해할 수 있게 한다. 이 책에서 설명하는 방법은 맹목적으로 따라야 할 체크리스트는 아니다. 디지털 조사관은 관찰 대상에 대해 항상 비판적인 사고를 가져야 하며, 그에 따라 조사 방향을 조정해야 한다.

★ 저자 서문 ★

2008년에 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)이 출간된 이후, 악의적인 목적이나 불법적인 용도를 위해 개발된 프로그램의 수와 복잡성이 증가하는 추세다. 최근에 발표된 시만텍 인터넷 보안 위협 보고서는 온라인 보안 위협이 2012년에 크게 증가하고 발전했다고 발표했다. 이 보고서에는 사이버 스파이 동향이 급성장하는 동향뿐만 아니라 새로운 악성코드 위협이 고도화되고 사악해져가고 있다고 언급했다. 보고서는 악성코드 작성자들이 금전적인 이익이나 데이터 수집을 위해 특정 대상자를 겨냥하는 공격이 더 많이 수행되고 있으며 또한 악성코드를 이용한 공격자를 인식하기란 점점 더 어려워지고 있다고 밝혔다. 악의적인 이메일, 웹 도메인, 모바일 악성코드들이 눈에 띄게 증가하고 있으며 이는 위협의 궤도가 지속적으로 상승하고 있음을 보여준다. 이러한 추세는 상당히 높은 수준의 악성코드 위협이 계속 존재하게 될 것임을 의미한다. F-Secure를 비롯한 안티바이러스 벤더들은 백서에서, 맥 OS나 특히 안드로이드 플랫폼의 모바일 디바이스를 공격하는 악성코드가 증가하고 있고, 조직화된 핵티비즘 단체 및 국가가 공격 코드 개발을 지원해 더욱 복합하게 수행되는 공격이 증가하고 있음을 언급하고 있다.

과거에는 악성코드가 기능과 공격의 매개체에 따라(예를 들면, 바이러스, 웜 또는 트로이 목마) 분명하게 분류되었다. 오늘날의 악성코드는 모듈화되고, 다양한 경로로 감염되며, 다양한 기능을 포함해 복합적인 위협으로 작용하며, 여러 가지 전파 수단을 가진다. 이 악성코드의 대부분은 점점 조직화된 전문 컴퓨터 범죄자를 지원하기 위해 개발되었다. 물론 범죄자들은 자신들의 이익을 위해 컴퓨터를 제어하고 개인 기밀 또는 기타 독점 정보를 훔치는 용도로 악성코드를 광범위하게 활용하고 있다. 트라이던트 브리치 작전(Operation Trident Breach) 으로, 수백 명에 달하는 사람들이 제우스(Zeus) 등의 악성코드를 사용한 디지털 절도 혐의로 체포되었다. 오늘날 번창한 회색시장(Gray Market, 암시장(Black Market)과 일반시장(Market)의 중간 형태)의 존재는, 악성코드가 현존하는 바이러스 백신 프로그램 탐지를 피하기 위해 전문적으로 개발되었고, 사이버 범죄에 정통한 그룹들이 악성코드의 가치를 알고 있으며, 사용 가능한 상태의 악성코드에 항시적으로 접근 가능하다는 사실을 보여준다.

이 책은 실전에서 전략적 레퍼런스로 활용할 수 있도록 작성됐다. 디지털 조사관이 리눅스 컴퓨터 시스템에 악성코드를 식별할 수 있도록 기획되었으며, 리눅스에서 기능과 목적을 발견하는 악성코드를 검사하고 대상 리눅스 시스템에서 악성코드의 영향을 결정한다. 포렌식 분야로 악성코드 분석을 진행하기 위한 특정한 방법이 제공되며 디지털 조사관, 신뢰할 수 있는 반복, 방어, 철저하게 문서화된 방식으로 이 작업을 수행할 수 있도록 법적 고려사항이 논의된다.

악성코드 포렌식과 다르게 악성코드 조사와 분석은 기술과 관련 도구를 입증하기 위해 텍스트를 통해 실제의 시나리오를 사용한다. 이 책은 전략적인 용도와 실용적인 용도 모두를 위해 노력하고 있으며, 현장에서 사용하기 위한 간결한 개요 형식으로 구성했고 현장과 분석실에서 사용할 수 있도록 구성 요소와 온라인 리소스를 추가하고 별개의 그래픽 아이콘으로 상호 참조하도록 했다.


Information Provided By: : Aladin

Author Introduction

제임스 아퀼리나(지은이)

스트로츠 프리드버그(Stroz Friedberg)의 전무이사 겸 부 법률고문으로 일반 관리와 법률 업무를 취급하고 로스앤젤레스, 샌프란시스코, 시애틀 사무소를 책임지고 있다. 정부 기관 주요 법률회사, 기업의 관리 및 정보 시스템 부서와 협력해 다양한 민/형사 사건, 규제 관련 문제뿐만 아니라 데이터 유출, 전자 위조, 전자기록 인멸(wiping), 대량 삭제, 횡령, 기밀 정보 유출, 컴퓨터를 사용한 영업 기밀 절도, 불법적 전자 감시와 같은 내부 기업 문제에 대한 수많은 디지털 포렌식 및 인터넷 수사, 전자적 증거 수집 임무를 수행하고 있다. 저자진은 『악성코드와 멀웨어 포렌식』(에이콘출판 2012)과 『실전 윈도우 악성코드 포렌식』(에이콘출판, 2015)을 공동 저술했다.

카메론 말린(지은이)

미 연방수사국(FBI)의 특수요원이며, 컴퓨터 침입과 악성코드 사고 조사를 담당하고 있다. FBI에서 근무하기 전에는 플로리다 주의 마이애미에서 검사보(ASA)와 미 연방 특별검사보(SAUSA)를 역임하면서 컴퓨터 범죄 기소를 담당했다. 검사보로 재직하는 동안, 조지 워싱턴 대학에서 컴퓨터 사기에 관한 석사 과정 프로그램의 조교수로 활동했다. 저자진은 『악성코드와 멀웨어 포렌식』(에이콘출판 2012)과 『실전 윈도우 악성코드 포렌식』(에이콘출판, 2015)을 공동 저술했다.

오언 케이시(지은이)

디지털 포렌식 및 데이터 침해 조사와 관련해 국제적으로 명성이 높다. 기본서 역할을 하는 『Digital Evidence and Computer Crime』의 저자이며, 전 세계적인 스마트폰 포렌식 교육 과정을 개설했다. 10여 년 동안 사고 대응과 디지털 포렌식을 발전시키기 위해 헌신해왔다. 사이버 범죄 예방센터(DC3)의 R&D팀 리더로 일하면서, 팀의 운영 능력을 향상시키거나 새로운 기술 및 툴을 개발하는 데 도움을 줬다. 고객사를 도와 보안 침해 분야를 처리하거나 국제적인 범위의 네트워크 침입을 포함해 디지털 증거의 광범위한 분야를 분석했다. 저자진은 『악성코드와 멀웨어 포렌식』(에이콘출판 2012)과 『실전 윈도우 악성코드 포렌식』(에이콘출판, 2015)을 공동 저술했다.

양해용(옮긴이)

삼성 SDS 사내 해킹 동호회인 정보보안연구회 총무를 맡고 있다. 최근 개발 트렌드는 DevOps, MSA, Kanban 등을 활용하며 역동적으로 발전하고 있는데 좀 더 현실적인 보안이 무엇일까? 좀 더 현장의 요구에 맞는 보안이 무엇일지 방향성을 고민하고 적용하고 싶어한다.

배영부(옮긴이)

영상 보안 제품을 시작으로, 리눅스 커널 기반의 L4-7과 방화벽, 보안 스위치 같은 네트워크 보안 제품과 SIEM 등 다양한 보안 관련 제품 개발에 참여했으며, 현재 삼성SDS에서 기존 레거시 시스템과 클라우드 시스템을 통합 모니터링, 분석하는 솔루션의 개발에 참여하고 있다. 개인적인 시간의 많은 부분을 기술 서적 번역에 할애하고 있으며, 로드바이크 라이딩을 취미로 살고 있는 IT인이다. 그 외에도, 좀 더 의미 있고 재미있는 인생을 살고자 다양한 것을 시도하고 있다. 에이콘출판사에서 출간한 『소프트웨어 보안 평가 The Art of Software Security Assessment』(2013), 『실전 리눅스 악성코드 포렌식』(2015), 『POS 시스템 해킹과 방어』(2015)를 번역했다.

권기훈(옮긴이)

카이스트 산업공학과를 졸업하고 동 대학원에서 이동통신과 보안 분야를 연구해 박사 학위를 취득했다. 삼성SDS에서 공공기관 및 기업체를 대상으로 보안 컨설팅, 모의해킹, 보안 점검 등의 다양한 업무를 수행했으며, 현재 새로운 IT 환경에서의 취약점 분석 및 보안 점검 업무를 수행 중이다. 에이콘출판사에서 출간한 『실전 리눅스 악성코드 포렌식』(2015)을 공역했다.

이원래(옮긴이)

2014년 고려대학교 정보보호대학원 정보보호학과를 졸업했으며, 명령어 주소의 엔트로피 분석을 통한 자동 압축 해제 관련 논문을 작성했다. 삼성SDS에 20년간 재직하면서 보안 관련 업무를 15년 동안 수행했다. 관심 분야는 리눅스 해킹 및 포렌식 업무다.

삼성SDS 정보보안연구회(감수)

2001년 해킹바이러스연구회로 시작한 삼성SDS 정보보안연구회는 해킹 기술을 공격자 입장에서 생각하고, 이를 토대로 안전한 시스템 운영 방안을 찾기 위해 보안성 검토 기술, 점검 기술, 신기술 트렌드 등을 연구하는 사내 연구회다. 보안에 대해 이야기하며 이를 통한 발전을 지향한다. 에이콘출판사에서 출간한 『소프트웨어 보안 평가 The Art of Software Security Assessment』(2013)를 번역했다.

Information Provided By: : Aladin

Table of Contents

1장 악성코드에 의한 사고 대응 
소개 
__현지 대 원격지 수집 
휘발성 데이터 수집 방법론 
__수집 단계의 문서화 
__휘발성 데이터 수집 절차 
__휘발성 데이터의 보존 
__동작 중인 리눅스 시스템의 물리적 메모리 획득 
__현지에서의 물리적 메모리 획득 
__/proc/meminfo 파일의 내용 문서화 
__원격 물리 메모리 수집 
__물리적 메모리 수집의 다른 방법 
__대상 시스템에 대한 자세한 내용 수집 
__시스템에 로그인한 사용자 식별 
__네트워크 접속과 활동 조사 
__프로세스 정보 수집 
__동작 중인 리눅스 시스템에서의 프로세스 메모리 보존 
__시스템 상태와 결과물에 관련된 맥락에서 동작 중인 프로세스 검토 
__/proc 디렉터리의 휘발성 데이터 
__동작 중인 프로세스와 프로그램에 열려 있는 포트의 상호관계 
__열린 파일과 의존 관계 
__실행 중인 서비스 식별 
__탑재된 모듈의 검사 
__명령 히스토리 수집 
__마운트된 공유 드라이브 식별 
__예약된 작업의 판별 
__클립보드 내용 수집 
동작 중인 시스템으로부터 비휘발성 데이터 수집 
__동작 중인 시스템에서의 스토리지 미디어 포렌식 복제 
__동작 중인 시스템의 스토리지 미디어 원격 수집 
__동작 중인 리눅스 시스템에서 선택된 데이터의 포렌식 보존 
__보안 설정 평가 
__신뢰할 수 있는 호스트 간의 관계 평가 
__로그인 로그와 시스템 로그 수집 
결론 
주의할 점 
사고 대응 도구 모음 
악성코드 포렌식 도구 상자 
원격 수집 도구 
휘발성 데이터 수집과 분석 도구 
대상 시스템 상세 정보 수집 
시스템에 로그인한 사용자 식별 
네트워크 접속과 행동 
프로세스 분석 
로드된 모듈 
열린 파일 
명령 히스토리 
참고 문헌 
__도서 
__논문 
__온라인 자료 
__법/RFC/기술 명세서 

2장 리눅스 메모리 포렌식 
소개 
메모리 포렌식 개요 
‘전통적인 방식’의 메모리 분석 
리눅스 메모리 포렌식 도구는 어떻게 동작하는가 
리눅스 메모리 포렌식 도구 
__프로세스와 스레드 
__모듈과 라이브러리 
__열린 파일과 소켓 
리눅스 메모리 내 다양한 자료구조의 해석 
__명령 기록 
__암호화된 키와 패스워드 
리눅스 프로세스 메모리 덤프하기 
__실행 파일의 복원 
__프로세스 메모리의 복원 
__동작 중인 시스템에서 프로세스 메모리 추출 
리눅스 프로세스 메모리 해부 
결론 
주의할 점 
__발견한 것에 대한 검증 실패 
__조사 바탕이 되는 자료구조에 대한 잘못된 이해 
현장 노트: 메모리 포렌식 
악성코드 포렌식 도구 상자 
참고 문헌 
__도서 
__논문 
__온라인 자료 

3장 사후 포렌식 
소개 
리눅스 포렌식 분석 개요 
리눅스 시스템에서 악성코드를 발견하고 추출 
__알려진 악성 프로그램의 검색 
__설치된 프로그램과 잠재적으로 의심스러운 실행 파일의 조사 
__서비스, 모듈, 자동 시작 위치, 계획된 작업의 조사 
__로그 검사 
__사용자 계정과 로그인 행동 재검토 
리눅스 파일시스템 검사 
응용프로그램 흔적 조사 
키워드 검색 
공격받은 리눅스 시스템의 포렌식을 위한 재구성 
리눅스 시스템으로부터 향상된 악성 프로그램의 발견과 추출 
결론 
주의할 점 
현장 노트: 리눅스 시스템 검사 
포렌식 도구 모음 
악성코드 포렌식 도구 상자 
시간 축 생성 
참고 문헌 
__도서 
__논문 

4장 법적 고려사항 
다루고자 하는 이슈 
일반적인 고려사항 
__법적 환경 
조사 권한 부여 기관 
__관할권에 따른 권한 
__사적 권한 
__공공/법령에 의한 권한 
권한에 대한 법령적 제한 
__저장된 데이터 
__실시간 데이터 
__보호된 데이터 
데이터 수집용 도구 
__업무용 
__수사용 
__수사/해킹 겸용 
국경 간 데이터 수집 
__개인 또는 민간 조사에 있어서의 업무 현장 데이터 
__정부 또는 범죄 조사에 있어서의 업무 현장 데이터 
사법당국의 개입 
__피해자가 사법당국의 개입을 꺼리는 이유 
__피해자가 오해하는 부분 
__사법당국의 관점 
__사법당국과 피해자 사이에서 중립 지키기 
증거능력 향상 
__문서화 
__보존 
__연계 보관 
각 주의 사립탐정 관련 법령과 정보유출 고지 법령 
국제 기구 자료 
__국경 간 수사 관련 자료 
연방 법률: 디지털 조사자가 사용할 증거 
__관련성 
__입증 
__최적 증거 
__전문가 증언 
__변호사 비밀 유지 의무 포기의 제한 

5장 파일 식별 및 프로파일링 
소개 
파일 프로파일링 프로세스 개요 
리눅스 실행 파일 다루기 
__실행 파일이 컴파일되는 방법 
__정적 링킹 vs 동적 링킹 
__심볼릭, 디버그 정보 
__스트립된 실행 파일 
__의심 파일 프로파일링 
__커맨드라인 인터페이스 MD5 도구 
__GUI MD5 도구 
파일 유사성 인덱싱 
파일 시각화 
__파일 시그니처 확인과 분류 
__파일 타입 
__파일 시그니처 확인 및 분류 툴 
__웹 기반 악성 프로그램 검사 서비스 
__임베디드 아티팩트 추출: 문자열, 심볼릭 정보, 파일 메타데이터 
__문자열 
__임베디드 문자열 분석 도구 
심볼릭 정보와 디버그 정보 
임베디드 파일 메타데이터 
파일 난독화: 패킹과 암호화 확인 
__패커 
__크립터 
__래퍼 
__난독화된 파일 확인 
임베디드 아티팩트 추출 재고 
ELF 형식 
__ELF Shell(elfsh) 사용 
__ELF Header (Elf32_ehdr) 
__ELF 섹션 헤더 테이블(Elf32_shdr) 
__프로그램 헤더 테이블(Elf32_Phdr) 
__심볼 테이블에서 심볼릭 정보 추출 
__노트 섹션 항목 
__동적 섹션 항목 
__버전 컨트롤 정보 
__Objdump를 이용한 바이너리 샘플 분석 
의심 문서 파일 프로파일링 
어도비 PDF 프로파일링 
__PDF 파일 포맷 
__PDF 프로파일링 프로세스: CLI 프로그램 
__PDF 프로파일링 프로세스: GUI 프로그램 
마이크로소프트 오피스 파일 프로파일링 
__MS 오피스 문서: 워드, 파워포인트, 엑셀 
__MS 오피스 문서 파일 포맷 
__MS 오피스 문서: 취약점과 익스플로잇 
__MS 오피스 문서 프로파일링 프로세스 
__OfficeMalScanner를 이용한 상세 프로파일링 
결론 
주의할 점 
악성코드 포렌식 도구 상자 
__파일 외관 캡처 
__커맨드라인 해시 프로그램 
__GUI 해시 프로그램 
__파일 유사성 인덱싱 
__파일 시각화 
__16진수 에디터 
__안티바이러스 
__문자열 
__파일 의존성 
__심볼릭 정보와 디버그 정보 추출 
__파일 메타데이터 
__ELF 파일 분석 
__악성 문서 분석: PDF 파일 
참고 문헌 
__도서 
__논문 
__온라인 자료 
__기술 명세서 

6장 악성코드 샘플의 분석 
소개 
__목적 
악성 파일의 샘플을 조사하기 위한 가이드라인 
실행 환경 베이스라인 설정 
__시스템 스냅샷 
__호스트 무결성 모니터 
__설치 모니터 
실행 전 준비: 시스템 및 네트워크 모니터링 
__패시브 시스템 및 네트워크 모니터링 
__액티브 시스템 및 네트워크 모니터링 
__NIDS를 이용해 이상 검출 및 이벤트 기반 모니터링 
실행 아티팩트 캡처: 디지털 인상 및 추적 증거 
__인상 증거 
__추적 증거 
__디지털 인상 증거 
__디지털 추적 증거 
__실제 메모리의 추적과 인상 증거 
악성코드 샘플 실행 
실행 경로 분석: 네트워크, 프로세스, 시스템 호출, 
시스템 작업 파일 관찰 
__네트워크 활동: 네트워크 궤적, 노출, 추적 증거 
__환경 에뮬레이션 및 조정: 네트워크 궤적 복원 
__네트워크 궤적 복원: 체인 
__네트워크 인상 및 추적 증거 
__프로세스 활동 검사 
__/proc/ 디렉터리 탐색 
__프로세스와 포트의 상관관계: 네트워크 연결 및 오픈된 포트 검사 
__strace를 이용한 시스템 호출 캡처 
__SystemTap과 Mortadelo를 이용해 시스템 호출 캡처 
__ltrace를 이용한 동적 라이브러리 호출 캡처 
__gdb를 실행해 실행 중인 프로세스 검사 
__파일시스템의 활동 검사 
자동화된 악성코드 분석 프레임워크 
임베드된 아티팩트 추출 재분석 
__디스어셈블러에서 의심스러운 프로그램 검사 
악성코드 샘플 작동 및 조작: 샘플을 탐색하고 기능과 목적을 확인 
__트리거 이벤트 프롬프트 
__클라이언트 애플리케이션 
이벤트 복원과 아티팩트 검토: 실행 후 데이터 분석 
__패시브 아티팩트 모니터링 
__액티브 아티팩트 모니터링 
__네트워크 트래픽 캡처 분석 
__시스템 호출 분석 
__NIDS 경고 분석 
__물리적 메모리 아티팩트 
__기타 고려사항 
디지털 바이러스학: 악성코드의 분류 및 
계통을 통한 고급 프로파일 
__문맥 트리거 구분 해싱 
__텍스트와 형상 바이너리 지표 확인 
__기능 흐름 그래프 
__프로세스 메모리 궤적 분석 
__시각화 
__행동 프로파일링과 분류 
결론 
주의할 점 
악성코드 포렌식 도구 상자 
__호스트 무결성 모니터 
__설치 모니터 
__환경 에뮬레이션 
__액티브 시스템 및 네트워크 모니터링 
__프로세스 모니터링 
__파일시스템 모니터링 
__네트워크 모니터링 및 포렌식 
__포트 모니터링 
__시스템 호출 모니터링 및 시스템 프로파일 
__자동화된 악성코드 분석 프레임워크 
__자동화된 악성코드 분석 프레임워크/샌드박스 
__온라인 악성코드 분석 샌드박스 
__임베디드 아티팩트 추출 재방문 
__디스어셈블러 
__악성 프로그램 샘플을 조작하고 상호작용 
__디지털 바이러스학 
__트리거 이벤트 프롬프팅 
__연관 구조가 있는 해시 값 및 특징점의 유사성 
참고 문헌 
__도서 
__논문

New Arrivals Books in Related Fields