서론
컴퓨터 포렌식
디지털 포렌식, 사이버 포렌식, 컴퓨터 포렌식
컴퓨터 포렌식의 적용 분야
데이터 복구 및 파일 카빙
컴퓨터 포렌식 전문가
이 책의 목적과 구성
윈도우 Vista, 7
1장. 라이브 리스폰스
1. 라이브 리스폰스의 중요성
2. 언제 라이브 리스폰스를 수행할 것인가?
3. 라이브 리스폰스의 원칙
4. 사전 준비
4.1 모니터링과 문서화
4.2 시스템 DLL 파일 사용하지 않기
4.3 파일 이름 변경
5. 조사용 미디어와 데이터 수집 기법
5.1 CD와 USB 썸 드라이브
5.2 네트워크를 통한 데이터 전송 및 유의 사항
6. 휘발성 정보의 수집 순서
7. 휘발성 정보의 수집
7.1 OS 쉘과 권한 상승
7.2 물리적 메모리 덤프
7.3 시스템 시간
7.4 네트워크 연결 정보
7.5 프로세스 목록
7.6 핸들(Handles)
7.7 DLL 파일
7.8 로그온 사용자
7.9 열린 파일
7.10 열린 포트와 프로세스 맵핑
7.11 커맨드 히스토리(Command History)
7.12 서비스 목록
7.13 시작점
7.14 내부 라우팅 테이블
7.15 네트워크 인터페이스 정보
7.16 예약된 작업
7.17 클립보드
7.18 네트워크 드라이브와 공유 폴더
7.19 넷바이오스 이름
7.20 프로세스 덤프
8. 스크립트 만들기
2장. 메모리 분석
1. 라이브 리스폰스와 메모리 분석
2. 메모리 덤프 만들기
2.1 하드웨어를 이용한 메모리 덤프
2.2 소프트웨어를 이용한 메모리 덤프
2.3 크래쉬 덤프
2.4 하이버네이션 파일
3. 프로세스와 커널 오브젝트
3.1 프로그램, 프로세스, 스레드
3.2 커널 오브젝트
4. 윈도우 메모리
4.1 파일로서의 메모리
4.2 시스템 메모리
4.3 가상 메모리
4.4 가상 메모리의 구조
4.5 가상 주소와 물리적 주소 사이의 주소 변환
5. 숨겨진 프로세스 찾기
5.1 EPROCESS
5.2 ActiveProcessList
5.3 Direct Kernel Object Manipulation
5.4 커널 오브젝트 검색
6. 윈도우 메모리 분석
6.1 전통적인 메모리 분석 기법
6.2 프로세스 목록
6.3 프로세스 정보
6.4 드라이버 목록
6.5 네트워크 연결 정보
6.6 후크
6.7 추가적인 메모리 분석 기법과 메모리 아티팩츠
7. 메모리 분석 도구 비교
3장. 실행 파일 분석
1. 실행 파일 분석 순서
2. 정적 분석과 동적 분석
3. 정적 분석 환경
3.1 간단한 실행 파일 분석
3.2 안티 바이러스 프로그램
3.3 문자열 조사
4. PE 파일 분석
4.1 PE 파일의 내부 구조
4.2 도스 영역
4.3 PE 헤더 영역
4.4 섹션 헤더 영역
4.5 섹션 영역
5. 방해꾼들
5.1 팩커
5.2 크립터
5.3 프로텍터
5.4 압축, 암호화된 파일의 검출과 해제
5.5 프로세스 디버깅
6. 동적 분석
6.1 동적 분석 환경
6.2 모니터링
4 장. 레지스트리 분석
1. 레지스트리의 구성
1.1 HKEY_CLASSES_ROOT (HKCR)
1.2 HKEY_CURRENT_USER (HKCU)
1.3 HKEY_LOCAL_MACHINE (HKLM)
1.4 HKEY_USER (HKU)
1.5 HKEY_CURRENT_CONFIG (HKCC)
1.6 하이브 목록
2. 레지스트리 값과 ROT13
3. 하이브 파일의 구조
3.1 하이브 블록
3.2 하이브 빈
3.3 셀
3.4 레지스트리 시그니처
4. 레지스트리 하이브 카빙
5. 레지스트리 아티팩트
5.1 시스템 정보
5.2 표준 시간대와 시간/날짜 조정 애플릿
5.3 마지막으로 로그온한 사용자
5.4마지막 종료 시간
5.5 공유 목록
5.6 자동 시작점
5.7 감사 정책
5.8 Wireless SSID
5.9 네트워크 인터페이스
5.10 이동형 저장장치
5.11 연결된 저장장치
5.12 계정 정보
5.13 UserAssist
5.14 MRU List
5.15 Mapped Network Drive
5.16 캐시 된 다국적 프로그램 이름
5.17 삭제된 프로그램의 알림 아이콘
6. 레지스트리 모니터링
5장. 윈도우 아티팩트
1. 시간과 날짜
1.1 Real-Time Clock
1.2 시스템 시간
1.3 표준 시간대
1.4 파일 시스템 시간
1.5 파일 복사/이동에 의한 타임스탬프 변경
1.6폴더의 복사/이동 시의 타임스탬프 변경
1.7 파일 타임스탬프를 통한 추론들
1.8 윈도우 시간의 불확실성
1.9 컴퓨터 포렌식에서의 관점
2. 보안 식별자
2.1 SID의 형식
2.2 SID와 계정 연결하기
3. 휴지통(Recycle Bin)
3.1 휴지통 폴더의 구조
3.2 유틸리티로서의 휴지통
3.3 INFO2 파일의 구조
3.4 삭제된 파일의 복원
3.5 파일 삭제와 휴지통 비우기
3.6 휴지통 사용하지 않기
4. 이벤트 로그
4.1 이벤트 로그의 형식
4.2 이벤트 세부 정보
4.3 이벤트 ID
4.4 메세지 파일
4.5 이벤트 로그 파일의 구조
4.6 복사한 이벤트 로그 파일 열기
5. 바로 가기
5.1 바로 가기의 생성
5.2 바로 가기의 구조
5.3 EnCase로 본 바로 가기
6. 프리패치 파일 (Prefetch Files)
6.1 프리패치 파일이 가지고 있는 정보
7. 기타 윈도우 로그 파일들
7.1 SetupLog.txt
7.2 SetupAct.log
7.3 SetupAPI.log
7.4 예약된 작업 로그
7.5 윈도우 방화벽 로그
7.6 Dr. Watson 로그
8. 기타 윈도우 아티팩트
8.1 사용자 루트 폴더
8.2 내 최근 폴더
8.3 바탕 화면 폴더
8.4 내 문서 폴더
8.5 보내기 폴더
8.6 Temp 폴더
컴퓨터 포렌식
디지털 포렌식, 사이버 포렌식, 컴퓨터 포렌식
컴퓨터 포렌식의 적용 분야
데이터 복구 및 파일 카빙
컴퓨터 포렌식 전문가
이 책의 목적과 구성
윈도우 Vista, 7
1장. 라이브 리스폰스
1. 라이브 리스폰스의 중요성
2. 언제 라이브 리스폰스를 수행할 것인가?
3. 라이브 리스폰스의 원칙
4. 사전 준비
4.1 모니터링과 문서화
4.2 시스템 DLL 파일 사용하지 않기
4.3 파일 이름 변경
5. 조사용 미디어와 데이터 수집 기법
5.1 CD와 USB 썸 드라이브
5.2 네트워크를 통한 데이터 전송 및 유의 사항
6. 휘발성 정보의 수집 순서
7. 휘발성 정보의 수집
7.1 OS 쉘과 권한 상승
7.2 물리적 메모리 덤프
7.3 시스템 시간
7.4 네트워크 연결 정보
7.5 프로세스 목록
7.6 핸들(Handles)
7.7 DLL 파일
7.8 로그온 사용자
7.9 열린 파일
7.10 열린 포트와 프로세스 맵핑
7.11 커맨드 히스토리(Command History)
7.12 서비스 목록
7.13 시작점
7.14 내부 라우팅 테이블
7.15 네트워크 인터페이스 정보
7.16 예약된 작업
7.17 클립보드
7.18 네트워크 드라이브와 공유 폴더
7.19 넷바이오스 이름
7.20 프로세스 덤프
8. 스크립트 만들기
2장. 메모리 분석
1. 라이브 리스폰스와 메모리 분석
2. 메모리 덤프 만들기
2.1 하드웨어를 이용한 메모리 덤프
2.2 소프트웨어를 이용한 메모리 덤프
2.3 크래쉬 덤프
2.4 하이버네이션 파일
3. 프로세스와 커널 오브젝트
3.1 프로그램, 프로세스, 스레드
3.2 커널 오브젝트
4. 윈도우 메모리
4.1 파일로서의 메모리
4.2 시스템 메모리
4.3 가상 메모리
4.4 가상 메모리의 구조
4.5 가상 주소와 물리적 주소 사이의 주소 변환
5. 숨겨진 프로세스 찾기
5.1 EPROCESS
5.2 ActiveProcessList
5.3 Direct Kernel Object Manipulation
5.4 커널 오브젝트 검색
6. 윈도우 메모리 분석
6.1 전통적인 메모리 분석 기법
6.2 프로세스 목록
6.3 프로세스 정보
6.4 드라이버 목록
6.5 네트워크 연결 정보
6.6 후크
6.7 추가적인 메모리 분석 기법과 메모리 아티팩츠
7. 메모리 분석 도구 비교
3장. 실행 파일 분석
1. 실행 파일 분석 순서
2. 정적 분석과 동적 분석
3. 정적 분석 환경
3.1 간단한 실행 파일 분석
3.2 안티 바이러스 프로그램
3.3 문자열 조사
4. PE 파일 분석
4.1 PE 파일의 내부 구조
4.2 도스 영역
4.3 PE 헤더 영역
4.4 섹션 헤더 영역
4.5 섹션 영역
5. 방해꾼들
5.1 팩커
5.2 크립터
5.3 프로텍터
5.4 압축, 암호화된 파일의 검출과 해제
5.5 프로세스 디버깅
6. 동적 분석
6.1 동적 분석 환경
6.2 모니터링
4 장. 레지스트리 분석
1. 레지스트리의 구성
1.1 HKEY_CLASSES_ROOT (HKCR)
1.2 HKEY_CURRENT_USER (HKCU)
1.3 HKEY_LOCAL_MACHINE (HKLM)
1.4 HKEY_USER (HKU)
1.5 HKEY_CURRENT_CONFIG (HKCC)
1.6 하이브 목록
2. 레지스트리 값과 ROT13
3. 하이브 파일의 구조
3.1 하이브 블록
3.2 하이브 빈
3.3 셀
3.4 레지스트리 시그니처
4. 레지스트리 하이브 카빙
5. 레지스트리 아티팩트
5.1 시스템 정보
5.2 표준 시간대와 시간/날짜 조정 애플릿
5.3 마지막으로 로그온한 사용자
5.4마지막 종료 시간
5.5 공유 목록
5.6 자동 시작점
5.7 감사 정책
5.8 Wireless SSID
5.9 네트워크 인터페이스
5.10 이동형 저장장치
5.11 연결된 저장장치
5.12 계정 정보
5.13 UserAssist
5.14 MRU List
5.15 Mapped Network Drive
5.16 캐시 된 다국적 프로그램 이름
5.17 삭제된 프로그램의 알림 아이콘
6. 레지스트리 모니터링
5장. 윈도우 아티팩트
1. 시간과 날짜
1.1 Real-Time Clock
1.2 시스템 시간
1.3 표준 시간대
1.4 파일 시스템 시간
1.5 파일 복사/이동에 의한 타임스탬프 변경
1.6폴더의 복사/이동 시의 타임스탬프 변경
1.7 파일 타임스탬프를 통한 추론들
1.8 윈도우 시간의 불확실성
1.9 컴퓨터 포렌식에서의 관점
2. 보안 식별자
2.1 SID의 형식
2.2 SID와 계정 연결하기
3. 휴지통(Recycle Bin)
3.1 휴지통 폴더의 구조
3.2 유틸리티로서의 휴지통
3.3 INFO2 파일의 구조
3.4 삭제된 파일의 복원
3.5 파일 삭제와 휴지통 비우기
3.6 휴지통 사용하지 않기
4. 이벤트 로그
4.1 이벤트 로그의 형식
4.2 이벤트 세부 정보
4.3 이벤트 ID
4.4 메세지 파일
4.5 이벤트 로그 파일의 구조
4.6 복사한 이벤트 로그 파일 열기
5. 바로 가기
5.1 바로 가기의 생성
5.2 바로 가기의 구조
5.3 EnCase로 본 바로 가기
6. 프리패치 파일 (Prefetch Files)
6.1 프리패치 파일이 가지고 있는 정보
7. 기타 윈도우 로그 파일들
7.1 SetupLog.txt
7.2 SetupAct.log
7.3 SetupAPI.log
7.4 예약된 작업 로그
7.5 윈도우 방화벽 로그
7.6 Dr. Watson 로그
8. 기타 윈도우 아티팩트
8.1 사용자 루트 폴더
8.2 내 최근 폴더
8.3 바탕 화면 폴더
8.4 내 문서 폴더
8.5 보내기 폴더
8.6 Temp 폴더