품목정보
발행일	2015년 01월 30일
쪽수, 무게, 크기	620쪽 \| 1229g \| 18825030mm
ISBN13	9788960776623
ISBN10	8960776629

더보기

1장. 악성코드 사고 대응 __소개 ____로컬 수집 vs. 원격 수집 __휘발성 데이터 수집 방법론 ____휘발성 데이터 보존 ____라이브 윈도우 시스템에서 물리 메모리 획득 ____로컬에서 물리 메모리 획득 ____GUI 기반 메모리 덤프 도구 ____원격에서 물리 메모리 획득 ____대상 시스템에 관한 정보 수집 ____시스템에 로그인한 사용자 식별 __프로세스 정보 수집 ____프로세스 이름과 프로세스 식별자 ____프로세스와 실행 프로그램 매핑: 실행 파일의 전체 시스템 경로 ____프로세스와 사용자를 매핑 ____자식 프로세스 ____동작 중인 프로세스에 의해 로드된 개체의 의존성 __열린 포트와 동작 중인 프로세스/프로그램과의 연관성 ____서비스와 드라이버 식별 ____동작 중인 서비스 조사 ____설치된 드라이버 조사 ____열린 파일 확인 ____로컬에서 열린 파일 확인 ____원격에서 열린 파일 확인 ____명령 히스토리 수집 ____공유 리소스 식별 ____예약 작업 확인 ____클립보드 내용 수집 __라이브 윈도우 시스템에서 비휘발성 데이터를 수집 ____라이브 윈도우 시스템에서 저장 매체를 포렌식 목적으로 복제 ____라이브 윈도우 시스템에서 선별한 데이터의 포렌식 보존 ____보안 구성 평가 ____신뢰된 호스트 간의 관계 평가 ____프리페치 파일 조사 ____자동 시작 위치 조사 ____이벤트 로그 수집 ____로그온 이벤트와 로그오프 이벤트 ____사용자 계정과 그룹 정책 정보 검토 ____파일시스템 조사 ____레지스트리 내용 덤프와 분석 ____원격 레지스트리 분석 ____웹 브라우저 활동 조사 ____쿠키 파일 조사 ____보호된 저장소 조사 ____라이브 윈도우 시스템에서 악성코드 흔적의 발견과 추출 ____의심 파일 추출 ____F-Response로 하는 의심 파일 추출 __결론 __주의할점 __침해사고 대응 도구 모음 __원격 수집 도구 __휘발성 데이터 수집 및 분석 도구 __물리 메모리 획득 __대상 시스템 정보 수집 __시스템에 로그인한 사용자 식별 __네트워크 연결과 활동 __프로세스 분석 __핸들 ____로드된 DLL __열린 포트와 동작 중인 프로세스/프로그램과의 연관성 ____명령 행 인수 __서비스 __드라이버 __열린 파일 __예약된 작업 확인 __클립보드 내용 __비휘발성 데이터 수집 및 분석 도구 __시스템 보안 설정 __프리페치 파일 분석 __자동 시작 위치 __이벤트 로그 __그룹 정책 __파일시스템: 숨긴 파일과 대체 데이터 스트림 ____레지스트리 내용의 덤프와 분석 __웹 히스토리 __악성코드 추출 __참고 문헌 __법학/RFC/기술 명세서 2장. 메모리 포렌식 __소개 ____조사 시 고려 사항 __메모리 포렌식 개요 ____고전적 메모리 분석 기법 __윈도우 메모리 포렌식 도구의 동작 원리 __윈도우 메모리 포렌식 도구 ____프로세스와 스레드 ____모듈과 라이브러리 ____열린 파일과 소켓 ____다양한 데이터 구조체 __윈도우 프로세스 메모리 덤프 ____실행 파일 복구 ____프로세스 메모리 복구 ____라이브 시스템에서 프로세스 메모리 추출 __윈도우 프로세스 메모리 해부 __결론 __주의할 점 __메모리 포렌식: 현장 노트 __참고 문헌 __법학/RFC/기술 명세서 3장. 사후 포렌식 __소개 __윈도우 포렌식 분석 개요 __윈도우 시스템에서 악성코드 식별 및 추출 ____알려진 악성코드 검색 ____설치된 프로그램 조사 ____프리페치 파일 조사 ____실행파일 점검 ____서비스, 드라이버, 자동 실행 위치, 예약된 작업 점검 ____로그 조사 ____사용자 계정과 로그인 활동 검토 __윈도우 파일 시스템 조사 __윈도우 레지스트리 조사 ____복원 지점 __키워드 검색 __감염된 윈도우 시스템의 포렌식적 재구성 __윈도우 시스템에서 악성코드를 식별하고 추출하는 고급 기법 __결론 __주의할 점 __윈도우 시스템 조사: 현장 노트 __윈도우 분석 도구 상자 __포렌식 사본 마운팅 __윈도우 시스템의 포렌식 조사 __타임라인 생성 __윈도우 시스템 내의 일반적인 정보 출처에 대한 포렌식 조사 __참고 문헌 4장. 법적 고려사항 __다루고자 하는 이슈 __일반적인 고려사항 ____법적 환경 __조사 권한 부여 기관 ____관할권에 따른 권한 ____사적 권한 ____공공/법령에 의한 권한 __권한에 대한 법령적 제한 ____저장된 데이터 ____실시간 데이터 ____보호된 데이터 __데이터 수집용 도구 ____업무용 ____수사용 ____수사/해킹 겸용 __국경 간 데이터 수집 ____개인 또는 민간 조사에 있어서의 업무현장 데이터 ____정부 또는 범죄 조사에 있어서의 업무현장 데이터 __사법당국의 개입 ____피해자가 사법당국의 개입을 꺼리는 이유 ____사법당국의 관점 ____사법당국과 피해자 사이에서 중립 지키기 __증거능력 향상 ____문서화 ____보존 ____연계 보관 __각 주의 사립탐정 관련 법령과 정보유출 고지 __국제 기구 자료 ____국경 간 수사 관련 자료 __연방 법률: 디지털 조사관이 사용할 증거 ____관련성 ____입증 ____최적 증거 ____전문가 증언 ____변호사 비밀유지 의무 포기의 제한 5장. 파일 식별과 프로파일링 __소개 __파일 프로파일링 절차에 대한 개요 ____의심스러운 파일 프로파일링 ____명령 행 인터페이스 MD5 도구 ____GUI MD5 도구 __파일 유사도 인덱싱 __파일 시각화 ____파일 시그니처 식별 및 분류 ____파일 형식 ____파일 시그니처 식별 및 분류 도구 ____안티 바이러스 시그니처 ____웹기반 악성코드 스캐닝 서비스 ____내장 아티팩트 추출: 스트링, 심볼릭 정보, 그리고 파일 메타데이터 ____문자열 ____파일 의존성 검사: 동적, 정적 링크 ____심볼릭과 디버그 정보 ____내장된 파일 메타데이터 __파일 난독화: 패킹과 암호화 식별 ____패커 ____크립터 ____바인더, 조이너, 래퍼 ____내장 아티팩트를 추출해 재검토 ____윈도우 실행파일 형식 __의심스러운 문서 파일 프로파일링 ____PDF 파일 프로파일링 ____PDF 파일 형식 ____PDF 프로파일링 프로세스: CLI 도구 ____PDF 프로파일링: GUI 도구 ____마이크로소프트 오피스 파일 프로파일링 ____마이크로소프트 오피스 문서: 워드, 파워포인트, 엑셀 ____마이크로소프트 오피스 문서: 파일 형식 ____마이크로소프트 오피스 문서: 취약점과 익스플로잇 ____마이크로소프트 오피스 문서 프로파일링 절차 ____OffceMalScanner를 이용한 심층 프로파일링 ____MS CHM(컴파일된 HTML 도움말 파일) 프로파일링 ____CHM 프로파일링 프로세스 __결론 __주의할 점 __참고문헌 __기술 명세 6장. 악성코드 표본 분석 __소개 __목표 __악성코드 분석 지침 __분석 환경 기준 수립 ____시스템 ‘스냅샷’ ____호스트 무결성 모니터 ____설치 모니터 __실행 전 준비 사항: 시스템과 네트워크 모니터링 ____시스템 및 네트워크를 대상으로 한 패시브 모니터링 ____시스템 및 네트워크를 대상으로 한 액티브 모니터링 __실행 아티팩트 캡처: 디지털 흔적과 추적 증거 ____흔적 증거 ____추적 증거 ____디지털 흔적 증거 ____디지털 추적 증거 __악성코드 표본 실행 __실행 궤적 분석: 네트워크, 프로세스, API, 파일 시스템 그리고 레지스트리 활동 관찰 ____네트워크 활동: 네트워크 궤적, 흔적, 그리고 추적 증거 ____환경 에뮬레이션 및 수정: 네트워크 궤적 재구성 ____네트워크 궤적 재구성: 연쇄(chaining) ____네트워크 흔적 및 추적 증거 ____NetCat 리스너 사용 ____프로세스 활동 조사 ____프로세스 감시: API 호출 모니터링 ____피핑 톰(Peeping Tom): 윈도우 스파잉 ____파일 시스템 활동 조사 ____레지스트리 활동 조사 __자동화된 악성코드 분석 프레임워크 __온라인 악성코드 분석 샌드박스 __난독화 해제 ____사용자 지정 언패킹 도구 ____의심스러운 메모리 내 프로세스를 덤프 ____OEP 위치를 확인하고 OllyDump로 추출하기 ____임포트 테이블 재구성 __내장 아티팩트 재검토 ____디스어셈블러를 통한 의심스러운 프로그램 조사 ____고급PE 분석: PE 리소스 및 의존성 조사 __악성코드 표본 파일과의 상호작용 및 조작: 기능과 목적에 대한 연구 및 검증 ____API 후킹 ____트리거 이벤트 구동 ____클라이언트 응용 프로그램 __이벤트 재구성과 아티팩트 재조사: 실행 후 데이터 분석 ____패시브 모니터링 아티팩트 ____액티브 모니터링 아티팩트 ____캡처된 네트워크 트래픽 분석 ____API 호출 분석 ____물리 메모리 아티팩트 __디지털 바이러스학: 악성코드의 분류 및 계통 발생론을 통한 고급 프로파일링 ____CTPH ____텍스트 유사도와 바이너리 유사도 ____함수 흐름도 ____프로세스 메모리 궤적 분석 ____시각화 ____행위에 관한 프로파일링 및 분류 __결론 __주의할 점 __참고문헌

더보기

저자 소개 관련자료 보이기/감추기

저 자 소 개

카메론 말린 (Cameron H. Malin)
캘리포니아 주 로스앤젤레스의 사이버 범죄 수사 팀에 배정된 미 연방수사국 FBI의 특수 감독 요원으로, 컴퓨터 침입과 악성코드 사고 조사를 담당하고 있다. FBI에 근무하기 전에는 플로리다 주의 마이애미에서 검사보(ASA)와 미연방특별검사보(SAUSA)를 역임하면서 컴퓨터 범죄 기소를 담당했다. 또한 검사보로 재직하는 동안 조지워싱턴 대학교의 컴퓨터 사기에 관한 석사 과정 프로그램의 조교수로도 활동했다.

오언 케이시 (Eoghan Casey)
스트로츠 프리드버그(Stroz Friedberg)의 디지털 포렌식 수사 부서장이며, 국제적인 범위의 네트워크 침입 등의 광범위한 조사 분야에서 디지털 증거를 분석하고 보안 침해에 맞서는, 사고 대응과 디지털 포렌식 분석가다. 캘리포니아 버클리 대학교에서 기계 공학 학사, 뉴욕 주립대에서 교육 커뮤니케이션 기술 분야 석사 학위를 취득했다.

제임스 아퀼리나 (James M. Aquilina)
디지털 컴퓨터 포렌식, 전자 자료 보존/분석/제작, 컴퓨터 사기와 오용 대응, 컴퓨터 보안에 특화된 기술 서비스와 컨설팅 회사인 스트로츠 프리드버그의 전무이사 겸 부 법률고문으로 일반 관리와 법률 업무를 취급하고 로스앤젤레스, 샌프란시스코, 시애틀 사무소를 책임지고 있다. 조지타운 대학교에서 수석으로 학사 졸업을 하고, 캘리포니아 대학교의 버클리 로스쿨에서 법학석사(Juris Doctor)를 받았으며, 리차드 에스카인(Richard Erskine) 학술 회원 소속으로 캘리포니아 법률 검토의 기사 편집가와 집행 위원회 회원을 역임했다.

저자진은 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)을 공동 저술한 바 있다.

역 자 소 개

서만기
대구대학교 전산공학과를 졸업하고, 국방부 및 사이버 수사대를 포함한 다수의 국/공기업과 대학교에서 악성코드 분석 및 익스플로잇 개발 분야 강사로 활동했으며, 포털 업체의 소프트웨어 취약점 분석 업무를 수행했다. 현재 안랩 HackShield에서 게임 보안 업무를 맡고 있다.

장윤하
KAIST 산업공학과에서 학사과정을 마쳤으며, 2011년부터 2013년까지 안랩 CERT팀에서 침해 사고 분석 업무를 담당했고, 현재는 안랩 MSS 기술팀에서 차세대 보안관제 모델을 기획하고 있다. 옮긴 책으로 『APT, 지능형 지속 위협』(2013), 『네트워크 포렌식』(에이콘출판, 2014)이 있다.

더보기

관련자료 관련자료 보이기/감추기

★ 저자 서문 ★

2008년에 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)이 출간된 이후, 악의적이고 불법적인 목적으로 개발된 프로그램의 수와 복잡도가 상당히 증가했다. 2011년에 시만텍은 인터넷 보안 위협 보고서를 통해 그 이전 연도에만 2억 8600만 개의 새로운 위협이 발생했다고 발표했다. 에프시큐어(F-Secure)를 비롯한 기타 백신 업체도 2011년에 모바일 장치와 스카다(SCADA) 시스템에 대한 공격이 증가할 것으로 예측했다

과거의 악성코드는 기능성과 공격 벡터를 기반으로 깔끔하게 분류(예, 바이러스, 웜, 트로이목마)할 수 있었지만 최근의 악성코드는 다양한 기능과 전파 수단이 혼합돼 다면적이고 모듈화된 형태로 나타나고 있다. 악성코드의 대부분은 더 조직적이고 전문적인 컴퓨터 범죄를 지원하려고 개발되는데, 실제로 범죄자들은 컴퓨터를 제어하거나 개인정보, 기밀정보, 특허를 탈취해 이익을 얻기 위해 이러한 악성코드를 광범위하게 사용하고 있다. 오퍼레이션 트라이던트 브리치(Operation Trident Breach) 사건에서는 수백 명의 개인이 제우스(ZeuS)와 같은 악성코드를 사용해 디지털 절도 행위를 벌이다가 체포되기도 했다. 오늘날 거대한 회색 시장은 악성코드가 백신 프로그램의 탐지를 회피하고 전문적으로 개발될 수 있게 도와주고 있으며, 사이버 범죄 그룹은 이를 유용하고 가치 있게 사용하고 있다.

컴퓨터를 통해 발전소나 기타 중요한 기반 시설을 방해하도록 개발된 악성코드에 대한 우려가 점점 커지고 있는데, 이는 사이버 전쟁으로 불리기도 한다. 2010년에 등장한 스턱스넷(StuxNet)은 그 강력함을 입증하는 대표적 사례다. 스턱스넷은 공격자가 대상 시스템에 연결된 프로그램 가능한(programmable) 논리 제어기에 접근해 핵 원자로와 같은 산업 시스템의 동작을 변경할 수 있는 정교한 프로그램이다. 이러한 유형의 공격은 발전소나 사회 핵심 기반 시설을 망가트려서 지역 사람들에게 잠재적으로 큰 피해를 입힐 수 있다.

외국 정부는 산업 및 군사 간첩을 지원하는 맞춤형 악성코드를 개발하려고 고도로 숙련된 해커팀에 자금을 지원하고 있다. 구글 시스템에 침입하는 일이 이런 공격자들의 고도화되고 지속적인 능력을 보여준다. 이처럼 잘 조직된 공격의 유형은 ‘지능형 지속 위협(APT)’으로 알려져 있는데, 침입 대상 조직의 네트워크에 오랜 기간 잠복해 정보를 유출하거나 첩보를 수집하는 등의 형태로 나타나며 일반적으로 산업 스파이 행위와 관련돼 있다. 이렇듯 스파이나 범죄 행위를 저지르고 사이버 공격을 수행하는 악성코드가 증가함에 따라 디지털 조사관들은 그동안 백신 업체나 보안 전문가의 고유 영역으로 간주됐던 악성코드 분석 기법과 도구에 더욱 주목할 수밖에 없게 됐다.

이 책은 컴퓨터 시스템을 대상으로 증가하고 있는 공격을 방지하는 데 필요한 핵심 지식과 기술, 도구를 실무자들에게 제공하려고 작성되었다. 또한, 디지털 조사관이 컴퓨터 시스템에서 악성코드를 발견해 악성코드의 기능과 목적을 알아낸 후, 악성코드가 대상 시스템에서 어떤 영향을 미쳤는지를 살펴보는 데 도움이 되도록 작성됐다. 포렌식 관점에서의 악성코드 분석을 더 고도화시키기 위한 구체적인 방법론을 제공하고, 법적 고려사항에 대해 알아봄으로써 신뢰할 수 있고 반복 가능한 방법으로 분석하고 철저히 문서화해 분석 결과가 법정에서 인정받을 수 있게 한다.

실질적인 사례 연구를 사용해 기술과 관련 도구를 입증하기 위해 이 책의 저자진이 저술한 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)과는 달리 이 책은 전략적이고 실용적인 면을 모두 다루고 실전에서 사용할 수 있도록 간결하게 구조화된 형식을 취하고 있다. 아울러 필요한 요소와 실전 혹은 연구 환경을 위한 온라인 자원에 대해서는 아이콘을 활용해 쉽게 참조할 수 있게 했다.

★ 역자 서문 ★

과거에는 네트워크 공격이나 취약점 익스플로잇, 잘못된 시스템 구성 등 침해사고의 원인이 비교적 다양했으나, 최근에는 대부분의 침해사고가 악성코드 감염에서부터 시작되고 있다. 그만큼 악성코드의 기능과 목적도 다양해졌으며, 이에 따라 악성코드 포렌식 방법론에 대한 연구가 활발해지고 선택할 수 있는 분석 도구의 종류도 늘어나게 되었다.

이러한 환경에서 실제 포렌식 분석을 진행하다 보면 다양한 문제에 직면하게 된다. 분석 절차가 누락되거나 중요한 조사 관점을 놓치기도 하고, 선택한 도구가 환경에 적용되지 않아 대체할 수 있는 분석 도구에 대한 정보가 필요하기도 하며, 고려해야 할 법적 문제도 존재한다. 이는 대부분의 분석가들이 겪는 문제로, 이를 해결하려면 분석 현장에서 바로 참고할 수 있는 활용서가 필요했다.

이 책은 윈도우 환경에서 악성코드 포렌식을 수행하는 데 필요한 메모리, 파일 시스템, 네트워크 및 리버스 엔지니어링에 관한 기반 지식을 제공할 뿐만 아니라, 이러한 기술들을 활용해 효율적으로 문제를 해결할 수 있게 지침을 제시한다. 메타 데이터를 포함한 주요 데이터의 활용 방안과, 다양한 도구에 대한 실제 활용 사례를 소개하고 있는 것도 이 책의 특징 중 하나다. 모든 악성코드 포렌식 분석 과정에 필요한 내용을 점검표 형식으로 담고 있어, 실무에 유용하게 활용될 수 있을 것으로 기대된다.

출판사 리뷰 출판사 리뷰 보이기/감추기

회원리뷰 (0건) 회원리뷰 이동

리뷰 쓰기

혜택 및 유의사항?

등록된 리뷰가 없습니다!

첫번째 리뷰어가 되어주세요.

한줄평 (0건) 한줄평 이동

한줄평 쓰기

혜택 및 유의사항?

등록된 한줄평이 없습니다!

첫번째 한줄평을 남겨주세요.

배송/반품/교환 안내

배송 안내

반품/교환 안내에 대한 내용입니다.
배송 구분	예스24 배송 배송비 : 무료배송
포장 안내	안전하고 정확한 포장을 위해 CCTV를 설치하여 운영하고 있습니다. 고객님께 배송되는 모든 상품을 CCTV로 녹화하고 있으며, 철저한 모니터링을 통해 작업 과정에 문제가 없도록 최선을 다 하겠습니다. 목적 : 안전한 포장 관리 촬영범위 : 박스 포장 작업

반품/교환 안내

상품 설명에 반품/교환과 관련한 안내가 있는경우 아래 내용보다 우선합니다. (업체 사정에 따라 달라질 수 있습니다)

반품/교환 안내에 대한 내용입니다.
반품/교환 방법	고객만족센터(1544-3800), 중고샵(1566-4295) 판매자 배송 상품은 판매자와 반품/교환이 협의된 상품에 한해 가능합니다.
반품/교환 가능기간	출고 완료 후 10일 이내의 주문 상품 디지털 콘텐츠인 eBook의 경우 구매 후 7일 이내의 상품 중고상품의 경우 출고 완료일로부터 6일 이내의 상품 (구매확정 전 상태)
반품/교환 비용	고객의 단순변심 및 착오구매일 경우 상품 반송비용은 고객 부담임 직수입양서/직수입일서중 일부는 변심 또는 착오로 취소시 해외주문취소수수료 20%를 부과할수 있음 단, 아래의 주문/취소 조건인 경우, 취소 수수료 면제 오늘 00시 ~ 06시 30분 주문을 오늘 오전 06시 30분 이전에 취소 오늘 06시 30분 이후 주문을 익일 오전 06시 30분 이전에 취소 직수입 음반/영상물/기프트 중 일부는 변심 또는 착오로 취소 시 해외주문취소수수료 30%를 부과할 수 있음 단, 당일 00시~13시 사이의 주문은 취소 수수료 면제 박스 포장은 택배 배송이 가능한 규격과 무게를 준수하며, 고객의 단순변심 및 착오구매일 경우 상품의 반송비용은 박스 당 부과됩니다.
반품/교환 불가사유	소비자의 책임 있는 사유로 상품 등이 손실 또는 훼손된 경우 소비자의 사용, 포장 개봉에 의해 상품 등의 가치가 현저히 감소한 경우 : 예) 화장품, 식품, 가전제품, 전자책 단말기 등 복제가 가능한 상품 등의 포장을 훼손한 경우 : 예) CD/LP, DVD/Blu-ray, 소프트웨어, 만화책, 잡지, 영상 화보집 소비자의 요청에 따라 개별적으로 주문 제작되는 상품의 경우 디지털 컨텐츠인 eBook, 오디오북 등을 1회 이상 다운로드를 받았을 경우 eBook 대여 상품은 대여 기간이 종료 되거나, 2회 이상 대여 했을 경우 취소 불가 중고상품이 구매확정(자동 구매확정은 출고완료일로부터 7일)된 경우 LP상품의 재생 불량 원인이 기기의 사양 및 문제인 경우 (All-in-One 일체형 일부 보급형 오디오 모델 사용 등) 시간의 경과에 의해 재판매가 곤란한 정도로 가치가 현저히 감소한 경우 전자상거래 등에서의 소비자보호에 관한 법률이 정하는 소비자 청약철회 제한 내용에 해당되는 경우
소비자 피해보상	상품의 불량에 의한 반품, 교환, A/S, 환불, 품질보증 및 피해보상 등에 관한 사항은 소비자분쟁해결기준(공정거래위원회 고시)에 준하여 처리됨
환불 지연에 따른 배상	대금 환불 및 환불 지연에 따른 배상금 지급 조건, 절차 등은 전자상거래 등에서의 소비자 보호에 관한 법률에 따라 처리