HOME > 상세정보

상세정보

메모리 포렌식 (9회 대출)

자료유형
단행본
개인저자
Ligh, Michael Hale, 저 Case, Andrew, 저 Levy, Jamie, 저 Walters, Aaron, 저 권영환, 역 한영태, 역
서명 / 저자사항
메모리 포렌식 = Memory forensics / 마이클 해일 라이 [외]지음 ; 권영환, 한영태 옮김
발행사항
파주 :   혜지원,   2015  
형태사항
1072 p. : 삽화 ; 26 cm
원표제
The art of memory forensics : detecting malware and threats in Windows, Linux, and Mac memory
ISBN
9788983798633
일반주기
공저자: 앤드류 케이스, 제이미 레비, A. 아론 월터스  
정보보안가를 위한 최고의 지침서  
색인수록  
000 00000cam c2200205 c 4500
001 000045856631
005 20160105132855
007 ta
008 160105s2015 ggka 001c kor
020 ▼a 9788983798633 ▼g 13000
035 ▼a (KERIS)BIB000013874751
040 ▼a 211046 ▼c 211046 ▼d 211009
041 1 ▼a kor ▼h eng
082 0 4 ▼a 004.50285/58 ▼2 23
085 ▼a 004.5028558 ▼2 DDCK
090 ▼a 004.5028558 ▼b 2015
245 0 0 ▼a 메모리 포렌식 = ▼x Memory forensics / ▼d 마이클 해일 라이 [외]지음 ; ▼e 권영환, ▼e 한영태 옮김
246 1 9 ▼a The art of memory forensics : ▼b detecting malware and threats in Windows, Linux, and Mac memory
246 3 9 ▼a Art of memory forensics : ▼b detecting malware and threats in Windows, Linux, and Mac memory
260 ▼a 파주 : ▼b 혜지원, ▼c 2015
300 ▼a 1072 p. : ▼b 삽화 ; ▼c 26 cm
500 ▼a 공저자: 앤드류 케이스, 제이미 레비, A. 아론 월터스
500 ▼a 정보보안가를 위한 최고의 지침서
500 ▼a 색인수록
700 1 ▼a Ligh, Michael Hale, ▼e
700 1 ▼a Case, Andrew, ▼e
700 1 ▼a Levy, Jamie, ▼e
700 1 ▼a Walters, Aaron, ▼e
700 1 ▼a 권영환, ▼e
700 1 ▼a 한영태, ▼e
900 1 0 ▼a 라이, 마이클 해일, ▼e
900 1 0 ▼a 케이스, 앤드류, ▼e
900 1 0 ▼a 레비, 제이미, ▼e
900 1 0 ▼a 월터스, A. 아론, ▼e
945 ▼a KLPA

소장정보

No. 소장처 청구기호 등록번호 도서상태 반납예정일 예약 서비스
No. 1 소장처 과학도서관/Sci-Info(1층서고)/ 청구기호 004.5028558 2015 등록번호 121235192 도서상태 대출가능 반납예정일 예약 서비스 B M

컨텐츠정보

책소개

메모리 포렌식은 논쟁할 여지 없이 디지털 포렌식 중 가장 유익하고 흥미로운 영역 중 하나이다. 독자들은 이 책을 통해 컴퓨터 메모리 수집과 콘텐츠를 프로파일하는 방법을 학습함으로써 사고 대응, 악성 코드 분석, 디지털 포렌식 능력을 높일 수 있을 것이다.

이 책은 디지털 포렌식, 악성 코드 분석, 네트워크 보안, 지능적 위협 수집, 사고 대응과 같은 기술 컴퓨팅 분야의 실무자들을 대상으로 할 뿐 아니라 법 집행관 및 디지털 범죄 현장을 조사하는 정부 요원들에게도 적합할 것이다. 또한, 비슷한 주제를 공부하는데 관심이 있는 학생들에게도 좋은 참고서가 될 것이다.

정보 보안 전문가에게 최고의 지침서

The Art of Memory Forensics
메모리 포렌식은 디지털 범죄를 해결하기 위해 RAM을 분석하는 기술이다.


메모리 포렌식은 논쟁할 여지 없이 디지털 포렌식 중 가장 유익하고 흥미로운 영역 중 하나이다. 여러분들은 이 책을 통해 컴퓨터 메모리 수집과 콘텐츠를 프로파일하는 방법을 학습함으로써 사고 대응, 악성 코드 분석, 디지털 포렌식 능력을 높일 수 있을 것이다.
이 책은 디지털 포렌식, 악성 코드 분석, 네트워크 보안, 지능적 위협 수집, 사고 대응과 같은 기술 컴퓨팅 분야의 실무자들을 대상으로 할 뿐 아니라 법 집행관 및 디지털 범죄 현장을 조사하는 정부 요원들에게도 적합할 것이다. 또한, 비슷한 주제를 공부하는데 관심이 있는 학생들에게도 좋은 참고서가 될 것이다. 여러분들이 이미 위에서 언급한 분야에서 작업을 수행하고 있거나 할 예정이라면 이 책은 여러분에게 참고서가 될 것이다.

이 책은 크게 4파트로 구성되어 있으며 첫 번째 파트에서는 현대 컴퓨터의 하드웨어와 소프트웨어 대한 기본적인 사항들과 볼라틸리티 프레임워크를 통해 메모리 수집과 시작을 위해 필요한 툴과 방법들을 소개한다. 윈도우, 리눅스, 맥 운영체제에 대한 나머지 세 개의 파트에서는 각 운영체제에서 포렌식과 관련된 상세한 내용들을 다루고 있다.
각각의 OS를 다루는 파트의 장들은 네트워킹 루트킷과 같은 흔적들의 유형과 프로세스 메모리, 커널 메모리와 같이 흔적들이 발견되는 곳에 따라 각각 구성되었다.


정보제공 : Aladin

저자소개

마이클 해일 리(지은이)

Malware Analyst’s Cookbook의 저자이자 볼라틸리티 재단의 총무겸 재무를 담당하고 있다. 개발자와 리버스 엔지니어로써 그는 악성 코드 암호화, 메모리 포렌식, 자동화된 분석에 전문가이다. 또한 세계 각국에서 악성 코드와 메모리 포렌식 을 학생들에게 가르쳤다.

앤드류 케이스(지은이)

볼라틸리티 프로젝트에서 메모리, 디스크, 네트워크 포렌식 관련 프로젝트를 담당하고 있는 디지털 포렌식 연구원이다. 그는 Registry Decoder (National Institute of Justice에서 자금을 제공한 포렌식 애플리케이션)의 공동 개발자이며 2013년에 올해의 디지털 포렌식 조사관으로 선정되었다.

제이미 레비(지은이)

로스엔젤레스를 중심으로 활동하는 사용자 경험 전략가이자 20년 이상의 경력을 가진 디지털 제품 디자이너이다. 뉴욕대학교 티쉬스쿨의 인터랙티브 텔레커뮤니케이션 프로그램을 전공하여 석사 학위를 취득했다. 그녀는 스타트업 기업을 비롯한 여러 기업들을 대상으로 그들의 비즈니스 콘셉트를 혁신적이고 확장 가능한 온라인 솔루션으로 변환시켜주는 서비스를 제공하고 있는 디자인 컨설팅기업 JLR 인터랙티브의 대표이다. 또 세계적인 UX 워크숍을 주최하고 있으며, 서던캘리포니아대학교 대학원에서 ‘UX 디자인과 전략’ 강의 담담 교수로 출강 중이다. 뉴스위크지에 의해 ‘사이버공간에서 주목해야 할 50인의 인물’로 선정되기도 했다. 이 책은 아마존 UX 분야에서 장기간 베스트셀러 자리를 지켜온 UX 전략의 유일하고도 강력한 안내서이다.

A 아론 월터스(지은이)

볼라틸리티 프로젝트의 설립자이자 수석 개발자이며, 볼라틸리티 재단의 회장이고, 오픈 메모리 포렌식 워크샵의 의장이다. 애론의 연구는 디지털 수사관이 RAM을 분석하는 방법에 있어 획기적인 도움을 주는 툴들의 개발에 기여하였다. 그는 IEEE와 Digital Investigation 저널에 검증된 논물을 발표했고, Black Hat, 미 국방부 사이버 범죄 컨퍼런스와 포렌식 과학의 미국 아카데미 등에서 발표를 하였다.

한영태(옮긴이)

경희대 전자공학과를 졸업한 후 우연히 전자상거래 시스템 개발업체에서 시스템 엔지니어 및 소프트웨어 개발자로 다수의 사이트를 구축하였다. 그 후 KAIST 정보통신공학과에서 석, 박사를 거쳐 KAIST 연구원 과정을 거치는 동안 네트워크 트래픽 분석, 네트워크 모니터링, 네트워크 성능 측정, 분산 서비스 공격에 대한 연구를 수행하였으며 다수의 논문을 발표하고 특허들을 등록하였다. 박사 후 연구원 과정을 마치고 국내 CDN(Content Delivery Network) 관련 업체에서 웹 성능 모니터링과 최적화에 대한 업무를 수행하였으며 현재는 국내 통신사에서 SDN(Software-defined Network)에서 제어기 개발 및 네트워크 자동화와 관련된 연구를 진행하고 있다. 역서로 iOS 개발 레시피와 안드로이드앱 보안이 있다.

권영환(옮긴이)

충남대학교 정보통신공학과 졸업 후 국내 굴지의 전자회사에서 연구원으로 재직중 KAIST 정보통신공학과에서 석, 박사를마쳤으며 현재는 기존과 다른 전자업체에서 홈기반 무선 연결 기술 표준 업무를 담당하고 있다.

정보제공 : Aladin

목차

Part Ⅰ. 메모리 포렌식 소개 

Chapter 01. 시스템 개요 
1.1. 디지털 환경 
1.2. PC 구조 
1.3. 운영체제 
1.4. 프로세스 관리 
1.5. 메모리 관리 
1.6. 파일 시스템 
1.7. I/O 서브시스템 
1.8. 요약 

Chapter 02. 자료 구조 
2.1. 기본 데이터 유형 
2.2. 요약 

Chapter 03. 볼라틸리티 프레임워크(Volatility Framework) 
3.1. 왜 볼라틸리티인가? 
3.2. 무엇이 볼라틸리티에서 지원되지 않는가? 
3.3. 설치 
3.4. 프레임워크 
3.5. 볼라틸리티 사용하기 
3.6. 요약 

Chapter 04. 메모리 수집(Memory Acquisition) 
4.1. 디지털 환경 보호하기 
4.2. 소프트웨어 툴 
4.3. 메모리 덤프 형식 
4.4. 메모리 점프 변환하기 
4.5. 디스크의 휘발성 메모리 
4.6. 요약 

Part Ⅱ. 윈도우 메모리 포렌식 

Chapter 05. 윈도우 객체와 풀(pool) 할당 
5.1. 윈도우 실행부 객체(Window Executive Object) 
5.2. 풀 태그 탐색 
5.3. 풀 탐색의 제약 
5.4. 빅 페이지 풀 
5.5. 풀 탐색 대안 
5.6. 요약 

Chapter 06. 프로세스, 핸들, 토큰 
6.1. 프로세스 
6.2. 프로세스 토큰 
6.3. 권한 
6.4. 프로세스 핸들 
6.5. 메모리 핸들 열거하기 
6.6. 요약 

Chapter 07. 프로세스 메모리 내부 
7.1. 프로세스 메모리에 무엇이 있는가? 
7.2. 프로세스 메모리 열거하기 
7.3. 요약 

Chapter 08. 이벤트 로그 
8.1. 프로세스 환경 블록그 
8.2. 메모리 내 PE 파일 
8.3. 패킹과 압축 
8.4. 코드 삽입 
8.5. 요약 

Chapter 09. 이벤트 로그 
9.1. 메모리내 이벤트 로그 
9.2. 실제 사례 
9.3. 요약 

Chapter 10. 메모리 내 레지스트리 
10.1. 윈도우 레지스트리 분석 
10.2. 볼라틸리티 레지스트리 API 
10.3. Userassist 키 해석하기 
10.4. Shimcache를 통한 악성 코드 검출하기 
10.5. Shellbags을 통한 활동의 재구성 
10.6. 패스워드 해쉬 덤프하기 
10.7. LSA 비밀번호 획득하기 
10.8. 요약 

Chapter 11. 네트워킹 
11.1. 네트워크 흔적(Artifacts) 
11.2. 은닉된 연결 
11.3. 원시 소켓 및 스니퍼 
11.4. 차세대 TCP/IP 스택 
11.5. 인터넷 히스토리 
11.6. DNS 캐쉬 복구하기 
11.7. 요약 

Chapter 12. 윈도우 서비스 
12.1. 서비스 아키텍처 
12.2. 서비스 설치하기 
12.3. 트릭과 은닉(Stealth) 
12.4. 서비스 활동 조사하기 
12.5. 요약 

Chapter 13. 커널 포렌식과 루트킷 
13.1. 커널 모듈 
13.2. 메모리 덤프 내 모듈 
13.3. 커널 모드 스레드 
13.4. 드라이버 객체와 IRP 
13.5. 디바이스 트리 
13.6. SSDT 감사하기 
13.7. 커널 콜백 
13.8. 커널 타이머 
13.9. 종합 
13.10. 요약 

Chapter 14. 윈도우 GUI 서브시스템 Ⅰ 
14.1. GUI 
14.2. GUI 메모리 포렌식 
14.3. 세션 공간 
14.4. 윈도우 스테이션 
14.5. 데스크톱 
14.6. 아톰(Atom)과 아톰 테이블(Atom Table) 
14.7. 윈도우 
14.8. 요약 

Chapter 15. 윈도우 GUI 서브시스템 Ⅱ 
15.1. 윈도우 메시지 가로채기 
15.2. 사용자 핸들 
15.3. 이벤트 가로채기 
15.4. 윈도우 클립보드 
15.5. ACCDFISA 랜썸웨어(Ransomware) 사례 
15.6. 요약 

Chapter 16. 메모리 디스크 흔적 
16.1. 마스터 파일 테이블(MFT) 
16.2. 파일 추출하기 
16.3. TrueCrypt 디스크 암호 무력화 
16.4. 요약 

Chapter 17. 이벤트 재구성 
17.1. 문자열 
17.2. 명령 히스토리 
17.3. 요약 

Chapter 18. 타임라인 
18.1. 메모리에서 시간 찾기 
18.2. 타임라인 생성 
18.3. 엔터프라이즈 내 Gh0st 
18.3. 요약 

Part Ⅲ. 리눅스 메모리 포렌식 

Chapter 리눅스 메모리 수집 
19.1. 과거의 수집 방법 
19.2. 현재의 수집 방법 
19.3. 볼라틸리티 리눅스 프로파일들 
19.4. 요약 

Chapter 20. 리눅스 운영체제 
20.1. 과거의 수집 방법 
20.2. 리눅스 데이터 구조 
20.3. 리눅스 주소 변환 
20.4. procfs과 sysfs 
20.5. 압축 스왑(Compressed Swap) 
20.6. 요약 

Chapter 21. 프로세스와 프로세스 메모 
21.1. 메모리에서의 프로세스들 
21.2. 프로세스들을 나열하기 
21.3. 프로세스 주소 공간 
21.4. 프로세스 환경 변수 
21.5. 오픈 파일 핸들 
21.6. 저장된 콘텍스트 상태 
21.7. 배쉬(Bash) 메모리 분석 
21.8. 요약 

Chapter 22. 네트워킹 흔적 
22.1. 네트워크 소켓 파일 기술자 
22.2. 네트워크 연결 
22.3. 큐에 있는 네트워크 패킷들 
22.4. 네트워크 인터페이스 
22.5. 경로(Route) 캐쉬 
22.6. ARP 캐쉬 
22.7. 요약 

Chapter 23. 커널 메모리 흔적 
23.1. 물리 메모리 맵 
23.2. 가상 메모리 맵 
23.3. 커널 디버그 버퍼 
23.4. 로드된 커널 모듈들 
23.5. 요약 

Chapter 24. 메모리에서의 파일시스템 
24.1. 마운트된 파일 시스템 
24.2. 파일 및 디렉토리 나열하기 
24.3. 파일 메타데이터 추출 
24.4. 파일 내용을 복구하기 
24.5. 요약 

Chapter 25. 사용자 영역 루트킷 (Userland Rootkits) 
25.1. 셀 코드 주입 
25.2. 프로세스 공동화(Process Hollowing) 
25.3. 공유 라이브러리 삽입 
25.4. LD_PRELOAD 루트킷 
25.5. GOT/POT 덮어쓰기 
25.6. 인라인 가로채기 (Inline Hooking) 
25.7. 요약 

Chapter 26. 커널 모드 루트킷 
26.1. 커널 모드 접근하기 
26.2. 숨겨진 커널 모듈 
26.3. 숨겨진 프로세스들 
26.4. 권한 상승 
26.5. 시스템 호출 핸들러 가로채기 
26.6. 키보드 알림 
26.7. TTY 핸들러 
26.8. 네트워크 프로토콜 구조체 
26.9. 넷필터(Netfilter) 가로채기 
26.10. 파일 동작 
26.11. 인라인 코드 가로채기 
26.12. 요약 

Chapter 27. 팔랑크스2(Phalanx2) 사례 분석 
27.1. 팔랑크스2(Phalanx2) 
27.2. 팔랑크스2 메모리 분석 
27.3. 팔랑크스2 리버스 엔지니어링 
27.4. 팔랑크스2에 대한 마지막 생각 
27.5. 요약 

Part Ⅳ. 맥 메모리 포렌식 

Chapter 28. 맥 획득과 내부 
28.1. 맥 디자인 
28.2. 메모리 획득 
28.3. 맥 볼라탈리티 프로파일 
28.4. Mach-O 실행 파일 형 
28.5. 요약 

Chapter 29. 맥 메모리 개요 
29.1. 맥 대 리눅스 분석 
29.2. 프로세스 분석 
29.3. 주소 공간 매핑 
29.4. 네트워킹 흔적 
29.5. SLAB Allocator 
29.6. 메모리로부터 파일 시스템 복구하기 
29.7. 로드된 커널 확장 
29.8. 다른 맥 플러그인 
29.9. 맥 라이브 포렌식 
29.10. 요약 

Chapter 30. 악성 코드와 루트킷 
30.1. 유저랜드 루트킷 분석 
30.2. 커널 루트킷 분석 
30.3. 메모리 내 일반적인 맥 악성 코드 
30.4. 요약 

Chapter 31. 사용자 활동 추적 
31.1. 키체인(Keychain) 복구 
31.2. 맥 애플리케이션 분석 
31.3. 요약

관련분야 신착자료

김자미 (2021)