장바구니 담기 close

장바구니에 상품을 담았습니다.

장바구니로 계속쇼핑하기
Windows 환경에서 침해 시스템 분석하기
미리보기

Windows 환경에서 침해 시스템 분석하기

  • 할랜카비
  • |
  • 에이콘출판
  • |
  • 2019-05-31 출간
  • |
  • 200페이지
  • |
  • 152 X 224 X 11 mm
  • |
  • ISBN 9791161753041
판매가

20,000원

즉시할인가

18,000

카드할인

0원(즉시할인 0%)

적립금

1,000원 적립(5%적립)

배송비

무료배송

(제주/도서산간 배송 추가비용:3,000원)

추가혜택

네이버페이 무조건 1%적립+ 추가 1%적립

추가상품
상품선택
독서대 7,900원 독서대 선택안함 0원
수량
+ -
총주문금액
18,000
장바구니 구매하기

※ 스프링제본 상품은 반품/교환/환불이 불가능하므로 신중하게 선택하여 주시기 바랍니다.

북스크린영상으로 만나보는 한 권의 책 이야기

출판사서평




★ 이 책에서 다루는 내용 ★

■ 자세한 분석 절차와 단계별 분석 방향 결정 방법을 제공해 주요 발견이 어떻게 이뤄지는지 이해할 수 있다.
■ 악성코드 탐지, 사용자 활동, 웹 서버 침해 분석 및 테스트 환경 설정
■ 윈도우 XP, 윈도우 2008, 윈도우 7, 윈도우 10과 같은 윈도우 플랫폼 포함
■ 디지털 포렌식 분석과 침해사고 대응 분야에 종사하는 독자 대상를 대상으로 하는 초/중급서

★ 이 책의 대상 독자 ★

이 책은 분석 업무에 대한 기본 지식이 전혀 없는 초보 분석가를 대상으로 쓴 책은 아니다. 이 책은 다양한 데이터 소스에 대해 기본적으로 이해하고 있거나 자신의 분석 경험을 통해 얻은 지식의 부족함을 메우려는 사람을 대상으로 한다. 이 책을 최대한 활용하기 위해서는 최소한의 이해와 경험을 필요로 한다.
이 책의 독자들은 $MFT 레코드의 기본적인 구성 요소를 이해하고 있고, 그들이 궁금한 점이 있다면 브라이언 캐리어(Brian Carrier)의 『파일 시스템 포렌식 분석(File System Forensic Analysis)』 책을 살펴보거나, 블로그, 멘토 등을 통해 이해가 가지 않는 부분을 해결할 수 있을 거라 가정한다.
또한 독자들은 이미 타임라인을 생성해야 하는 이유와 그 방법을 이해하고 있다고 가정한다. 독자들이 이 책을 읽는 동안 실제로 타임라인을 만드는 것이 중요한 것은 아니지만, 그 방법을 이해하고 있다고 가정할 것이다.
이 책에 수록된 분석 예제 중 타임라인을 전부 제공하는 것은 적절하지 않아 발췌해 수록했다. 타임라인은 재현하기 쉬운 만큼 보는 데 문제가 없을 것이다.
추가로 이 책에서는 많은 무료 도구와 오픈소스 도구들을 사용한다. 경우에 따라서는 요구에 맞게 코드를 개발하거나 수정하고, 코드에 대한 설명을 제공하기도 한다.

★ 이 책의 구성 ★

1장, ‘분석 절차’에서는 분석 절차와 그 의미에 대해 논의를 시작한다. 내 경험에 따르면 대부분의 분석가는 분석을 반복적으로 처리할 뿐 절차로 생각하지 않는다. 1장에서 이것이 무엇을 의미하는지를 확인하고, 사건 노트를 통해 분석을 문서화하는 필요성에 관해 이야기한다.
2장, ‘악성코드 찾기’에서는 윈도우 시스템 이미지에서 악성코드를 찾는 방법을 알아본다. 하지만 악성코드의 역공학 분석에 대해서는 다루지 않는다. 이미 이 분야에는 내가 다룰 수 있는 것보다 훨씬 더 자세히 다루고 있는 책과 자료들이 많기 때문이다. 다양한 버전의 윈도우 운영체제에서 악성코드를 찾는 예를 제공하는 것에 초점 두고 설명한다.
3장, ‘사용자 행위’에서는 몇 가지 윈도우 시스템에서 사용자 행위에 대해 살펴본다. 다양한 윈도우 버전에 훌륭하게 구성된 데이터들을 제공하고, 데이터를 어떻게 분석에 적용할 수 있는지도 살펴본다.
4장, ‘웹 서버 침해’에서는 웹 서버 침입 분석에 대해 다룬다. 알리 하디(Ali Hadi, 트위터 계정 @binary0ne)는 웹 서버가 동작 중인 윈도우 2008 시스템을 기반으로 잘 만들어진 분석 챌린지 문제를 제공했다. 이 분석 연습은 서버로부터 획득한 디스크 이미지보다 더 많은 것을 포함하고 있다. 챌린지 문제에는 메모리 덤프와 그 이미지 자체에 웹 서버 로그를 포함하고 있다. 따라서 단순히 수집된 이미지보다 훨씬 더 많은 통합 분석을 할 수 있다.
5장, ‘테스트 환경 구성’에서는 테스트 환경의 설정을 다룬다. 그리고 이 환경을 이용해 개념과 테스트 이론을 확인하는 방법을 설명한다. 테스트된 개념은 요즘 인기 있고 현란한 최신의 것일 필요는 없다. 특히 전문적인 공격자를 추적하는 분야에서는 파일과 운영체제 기능의 기본을 이해하는 것이 훨씬 중요하다.
예를 들면 시스템에서 파일이 어떻게 사라지는지에 대해 이론화하는 것이다. 어느 한 시점에 시스템에 존재했지만, 파일이 삭제됐을 때 무슨 일이 있었는지를 이해하지 못한다면 그것을 어떻게 증명할 수 있는가? 또한 NTFS 파일 시스템 내의 파일이 ‘resident’하다는 것은 무슨 의미인가? 여러분은 이 질문에 대해 책에 기술된 답변을 외울 수 있는가? 또는 그러한 상황을 경험했을 뿐만 아니라 적극적으로 연구하고 증명을 통해 알고 있는가? 이제, 이에 대해서 알아보자.

★ 옮긴이의 말 ★

대부분의 보안 분야가 그렇듯 디지털 포렌식은 이미 존재하는 소프트웨어나 하드웨어의 기술을 후행한다. 즉, 기존 기술에 의존적인 분야다. 디스크, 메모리, 네트워크, 운영체제, 파일 시스템, 애플리케이션 등에 따라 각각의 포렌식 기술이 존재하며, 새로운 제품이나 기술이 등장하면 그에 따른 새로운 분석 기술이 필요하다. 따라서 포렌식 분석 기술은 매우 다양하며, 계속해서 그 수와 범위가 늘어난다. 윈도우 시스템과 관련된 포렌식 기술만 하더라도 수십, 수백 가지다.
그렇다면 포렌식 분석할 때 어떤 기술을 언제 어떻게 사용해야 할까? 포렌식 분야 서적을 통해 배운 A부터 Z까지의 분석 기술을 순서대로 적용하면 될까? 실제로 그런 식으로 분석을 진행한다면 몇 년간 분석해도 끝나지 않을 수도 있다.
대부분의 포렌식 분석은 제한된 시간 내에 제한된 리소스를 가지고 수행해야 하기 때문에 분석가는 분석 대상 시스템, 아티팩트, 분석 기법 등을 선별(triage)해야 한다. 이를 위해서는 분석 목표를 뚜렷하게 세워야 한다. 그리고 분석 목표에 맞는 분석 계획을 세우고, 최대한 계획에 따라 분석을 진행해야 한다. 그렇지 않으면 분석 중에 길을 잃기 십상이다. 분석 계획이 있더라도 프로그램 개발하듯이 순서대로 진행하기 쉽지 않은데, 분석 계획도 없이 무턱대고 분석을 시작하면 본문에 언급된 것처럼 바로 토끼굴 행이다. 포렌식 분석을 실제 해본 사람은 이와 같은 경험이 있을 것이다. 그래서 포렌식 분야는 기술적 지식도 중요하지만 체득된 경험이 중요한 분야인 것 같다.
이 책에서는 악성코드 찾기, 해킹 행위 분석하기, 데이터 유출 분석하기, 사용자 행위 분석하기, 침해 웹 서버 분석하기 등 주요 침해 유형을 고루 다루고 있다. 분석 테크닉 외에도 왜 그 타이밍에 그 아티팩트를 분석했는지와 같은 분석 흐름에 집중하면, 특히 글로 포렌식을 배운 경험이 부족한 초보 분석가에게 도움이 될 것이다.
이 책에 녹아있는 저자의 생각과 분석 경험은 나 역시 평소에 포렌식 분석 업무를 수행하면서 고민해왔던 주제였기 때문에 자식을 낳아 길러봐야 부모의 마음을 조금이나마 헤아릴 수 있다는 말처럼, 이 책을 번역하는 도중 여러 번 무릎을 치며 저자의 말에 공감할 수 있었다.
포렌식 공부를 시작한 2006년경 국내에는 국내 서적뿐만 아니라 번역서조차 없었다. 그래서 영어 원서나 인터넷을 통해 포렌식 기술을 접할 수밖에 없었는데, 당시에 윈도우 포렌식을 공부하기 위해 열심히 읽었던 책이 바로 『Windows Forensic Analysis DVD Toolkit』(Syngress, 2007)이었다. 그리고 그 책의 저자는 할랜 카비였다. 할랜 카비의 서적을 번역하게 돼 마치 스승님의 책을 번역하는 듯한 신기한 감정이 든다.
이 책을 통해 많은 분석가가 분석하면서 토끼굴로 내려가지 않고 분석의 방향을 잃지 않게 되기를 바란다.
포렌식 분야를 시작하면서 항상 마음에 새기고 있는 문구를 소개하며 마친다.
“As you can see as much as you know(아는 만큼 보인다)”


목차


1장. 분석 절차
__소개
__분석 절차
____목표
____분석 계획
____보고
____교훈
__이 책에서 다루는 내용

2장. 악성코드 찾기
__소개
__악성코드 찾기: 윈도우 XP
____이미지 형식
____분석 목표
____이미지 조사
____타임라인 구성
____시스템 시간 변경
____악성코드 문서화
____분석 요약
____분석 포인트
__악성코드 찾기: 윈도우 7
____분석 목표
____이미지 조사
____타임라인 구성
____USB 장치 분석
____분석 요약
____분석 포인트
__마무리

3장. 사용자 행위
__소개
__CFReDS 해킹 이미지
____분석 목표
____분석 계획
____타임라인
____추가 데이터
____요약
____교훈
__데이터 절도
____분석 목표
____분석 계획
____연결된 장치
____데이터 도난
____아웃룩 PST 파일
____기타 데이터 소스
____요약
____교훈
__조의 PC
____분석 목표
____분석 계획
____분석
____ThumbCache 데이터베이스 내용 보기
____충분함
____요약
____교훈

4장. 웹 서버 침해
__소개
__윈도우 2008 웹 서버
____분석 목표
____분석 계획
____데이터 추출
____분석
____결과
____요약

5장. 테스트 환경 구성
__소개
__테스트 환경 구성
____설정
____테스트와 문서화
__파일 시스템 터널링
__파일 삭제
__볼륨 셰도우 카피
__마치며
추천포스트

교환 및 환불안내

도서교환 및 환불
  • ㆍ배송기간은 평일 기준 1~3일 정도 소요됩니다.(스프링 분철은 1일 정도 시간이 더 소요됩니다.)
  • ㆍ상품불량 및 오배송등의 이유로 반품하실 경우, 반품배송비는 무료입니다.
  • ㆍ고객님의 변심에 의한 반품,환불,교환시 택배비는 본인 부담입니다.
  • ㆍ상담원과의 상담없이 교환 및 반품으로 반송된 물품은 책임지지 않습니다.
  • ㆍ이미 발송된 상품의 취소 및 반품, 교환요청시 배송비가 발생할 수 있습니다.
  • ㆍ반품신청시 반송된 상품의 수령후 환불처리됩니다.(카드사 사정에 따라 카드취소는 시일이 3~5일이 소요될 수 있습니다.)
  • ㆍ주문하신 상품의 반품,교환은 상품수령일로 부터 7일이내에 신청하실 수 있습니다.
  • ㆍ상품이 훼손된 경우 반품 및 교환,환불이 불가능합니다.
  • ㆍ반품/교환시 고객님 귀책사유로 인해 수거가 지연될 경우에는 반품이 제한될 수 있습니다.
  • ㆍ스프링제본 상품은 교환 및 환불이 불가능 합니다.
  • ㆍ군부대(사서함) 및 해외배송은 불가능합니다.
  • ㆍ오후 3시 이후 상담원과 통화되지 않은 취소건에 대해서는 고객 반품비용이 발생할 수 있습니다.
반품안내
  • 마이페이지 > 나의상담 > 1 : 1 문의하기 게시판 또는 고객센터 1800-7327
교환/반품주소
  • 경기도 파주시 문발로 211 1층 / (주)북채널 / 전화 : 1800-7327
  • 택배안내 : CJ대한통운(1588-1255)
  • 고객님 변심으로 인한 교환 또는 반품시 왕복 배송비 5,000원을 부담하셔야 하며, 제품 불량 또는 오 배송시에는 전액을 당사에서부담 합니다.