상세정보

목차

실전 포렌식 증거 수집 - 브루스 니켈 지음, 곽경주 외 옮김
디지털 포렌식에서 가장 처음 이뤄지는 증거 수집 과정을 자세하고 친절하게 다룬다. 다양한 종류와 형태의 저장 매체에서 이미지를 추출하는 예시가 상세히 포함돼 있어 실제 침해사고 조사에도 응용할 수 있다.

http://www.aladin.co.kr/shop/wproduct.aspx?ItemId=176709231&copyPaper=1&ttbkey=ttbhcr98061138004&start=api

0장. 디지털 포렌식 개요
__디지털 포렌식의 역사
____Pre-Y2K
____2000~2010
____2010~현재
__포렌식 증거 수집 트렌드 및 과제들
____증거의 크기, 위치 및 복잡성의 변화
____다중 법적 관할권 측면
____산업계, 학계 그리고 사법 기관의 협업
__사후 컴퓨터 포렌식의 원칙
____디지털 포렌식 표준
____피어 리뷰 연구
____산업 규정 및 모범 사례
____이 책에서 사용된 원칙

1장. 저장 매체 개요
__마그네틱 저장 매체
____하드 디스크
____마그네틱 테이프
____레거시 마그네틱 저장소
__비휘발성 메모리
____솔리드 스테이트 드라이브
____USB 플래시 드라이브
____이동식 메모리 카드
____레거시 비휘발성 메모리
__광학디스크 저장 매체
____콤팩트 디스크
____디지털 다용도 디스크
____블루레이 디스크
____레거시 광학 저장소
__인터페이스와 물리적 커넥터
____직렬 ATA
____직렬 연결 SCSI 및 파이버 채널
____비휘발성 메모리 익스프레스
____유니버셜 직렬 버스
____썬더볼트
____레거시 인터페이스
__명령, 프로토콜, 브릿지
____ATA 명령
____SCSI 명령
____NVME 명령
____브릿징, 터널링, 패스 스루
__특수 주제
____DCO와 HPA 드라이브 영역
____드라이브 서비스 및 유지 보수 영역
____UASP
____고급 포맷 4Kn
____NVME 네임스페이스
____솔리드 스테이트 하이브리드 디스크
__마무리하며

2장. 포렌식 증거 수집 플랫폼으로서의 리눅스
__포렌식 맥락에서의 리눅스와 OSS
____포렌식 랩에서 리눅스와 OSS의 이점
__포렌식 랩에서 리눅스와 OSS의 단점
__리눅스 커널과 저장 장치
____커널 장치 탐지
____/dev 내 저장 장치
____기타 특수 장치
__리눅스 커널과 파일 시스템
____커널 파일 시스템 지원
____리눅스에서의 파일 시스템 마운트
____포렌식 도구를 이용한 파일 시스템 접근
__리눅스 배포판과 셸
____리눅스 배포판
____셸
____명령 실행
____파이프 처리와 리다이렉션
__마무리하며

3장. 포렌식 이미지 포맷
__원본 이미지
____전통적인 dd
____포렌식 dd 변형
____데이터 복구 도구
__포렌식 포맷
____인케이스 EWF
____FTK SMART
____AFF
__포렌식 증거 보관소로서의 SquashFS
____SquashFS 배경
____SquashFS 포렌식 증거 보관소
__마무리하며

4장. 계획 및 준비
__감사 추적 유지
____작업 관리
________태스크워리어
________Todo.txt
________Shell Alias
____셸 히스토리
____터미널 리코더
____리눅스 감사
__수집 증거 및 명령 출력 정리
____파일 및 디렉터리의 이름 지정 규칙
____확장 가능한 조사 디렉터리 구조
____리다이렉션을 이용해 명령 출력 저장
__획득한 인프라 운반 평가
____이미지 크기와 디스크 크기 관련 요구 사항
____파일 압축
____희소 파일
____파일 및 이미지 크기 출력
____포렌식 이미지의 이동과 복사
____작업 완료 시간 예측
____성능과 병목 현상
____발열과 환경적인 요인
__포렌식 쓰기 방지 장치 보호
____하드웨어 쓰기 방지 장치
____소프트웨어 쓰기 방지 장치
____리눅스 포렌식 부팅 CD
____물리적 읽기 전용 모드가 있는 저장소
__마무리하며

5장. 수집 호스트에 조사 대상 매체 연결
__조사 대상 컴퓨터 하드웨어의 검사
____컴퓨터의 물리적 검사와 디스크 분리
____조사 대상 컴퓨터의 하드웨어 살펴보기
__수집 호스트에 조사 대상 디스크 연결
____수집 호스트의 하드웨어 살펴보기
____조사 대상 드라이브의 식별
__조사 대상 디스크의 정보 조회
____장치 식별 정보의 문서화
____hdparm으로 디스크 기능 조회
____smartctl로 SMART 데이터 추출
__숨겨진 섹터에 대한 접근 활성화
____DCO의 제거
____HPA의 제거
____드라이브 서비스 영역 접근
__ATA 비밀번호 보안과 자가암호화 드라이브
____ATA 비밀번호로 보호된 디스크의 식별과 잠금 해제
____Opal 자가암호화 드라이브의 식별과 잠금 해제
____암호화된 USB 드라이브
__이동식 매체의 연결
____광학 매체 드라이브
____자기테이프 드라이브
____메모리 카드
__기타 저장 장치의 연결
____애플 타깃 디스크 모드
____NVME SSD 드라이브
____블록 및 문자 접근을 지원하는 기타 장치
__마무리하며

6장. 포렌식 이미지 수집
__dd 도구를 이용한 이미지 수집
____표준 유닉스 dd와 GNU dd.
____dcfldd와 dc3dd
__포렌식 포맷으로 이미지 수집
____ewfacquire 도구
____AccessData ftkimager
____SquashFS 포렌식 증거 저장소
____다수의 목적지로 이미지 수집
__암호학을 이용한 디지털 증거 보존
____기본 암호 해싱
____해시 윈도우
____PGP와 S/MIME을 이용한 이미지 서명
____RFC-3161 타임스탬프 기록
__드라이브 고장과 오류 관리
____포렌식 도구의 오류 처리
____데이터 복구 도구
____SMART와 커널 오류
____손상된 드라이브를 위한 대안
____손상된 광학 매체
__네트워크상의 이미지 수집
____rdd를 이용한 원격 포렌식 수집
____ssh로 안전한 원격 이미지 수집
____SquashFS 증거 보관소로 원격 수집
____원격 디스크를 EnCase나 FTK 형식으로 수집
____Copy-On-Write 스냅샷을 통한 라이브 이미징
__이동식 매체 수집
____메모리 카드
____광학 디스크
____자기테이프
__RAID와 멀티디스크 시스템
____상용 RAID 수집
____JBOD와 RAID-0 스트라이프 디스크
____마이크로소프트 동적 디스크
____RAID-1 미러드 디스크
____리눅스 RAID-5
__마무리하며

7장. 포렌식 이미지 관리
__이미지 압축 관리
____표준 리눅스 압축 도구
____Encase EWF 압축 포맷
____FTKSMART 압축 포맷
____AFFlib 내장 압축
____SquashFS 압축 증거 보관소
__분할 이미지 관리
____GNU split 명령
____수집 중 이미지 분할
____분할 이미지 파일 모음에 접근
____분할 이미지 재조합
__포렌식 이미지의 무결성 검증
____수집 해시의 검증
____포렌식 이미지의 해시 값 재계산
____분할된 원시 이미지의 암호 해시
____해시 윈도우의 불일치 식별
____서명과 타임스탬프 검증
__이미지 포맷 간 변환
____원시 이미지로부터의 변환
____EnCase/E01 포맷의 변환
________SquashFS 보관소의 수동 생성
________EnCase에서 FTK로의 파일 변환
____FTK 포맷의 변환
____AFF 포맷의 변환
__암호화를 이용한 이미지 보호
____GPG 암호화
____OpenSSL 암호화
____포렌식 포맷 내장 암호화
____일반 디스크 암호화
__디스크 클로닝과 복제
____클론 디스크 준비
____HPA를 이용한 섹터 크기 복제
____클론 디스크에 이미지 파일 기록하기
__이미지 전송과 보관
____이동식 매체에 기록
____보관과 전송을 위한 저가형 디스크
____대규모 네트워크 전송
__안전한 소거와 데이터 처분
____개별 파일의 처분
____저장 장치의 안전 소거
____ATA 안전 삭제 단위 명령의 실행
____암호화된 디스크 키의 파괴
__마무리하며

8장. 특수 이미지 접근
__포렌식적으로 수집한 이미지 파일
____루프 장치와 원시 이미지 파일.
____포렌식 포맷 이미지 파일
____xmount로 부트 이미지 준비
__가상 머신 이미지
____QEMU QCOW2
____버추얼박스 VDI
____VMWare VMDK
____마이크로소프트 VHD
__운영 체제 암호화 파일 시스템
____마이크로소프트 BitLocker
____애플 FileVault
____리눅스 LUKS
____TrueCrypt와 VeraCrypt
__마무리하며

9장. 포렌식 이미지의 부분적 추출
__파티션 레이아웃과 파일 시스템의 식별
____파티션 구성
____파티션 테이블
____파일 시스템 식별
__파티션 추출
____개별 파티션 추출
____삭제된 파티션의 탐색과 추출
____파티션 사이의 틈새 공간 식별과 추출
____HPA와 DCO 섹터 구간 추출
__기타 부분별 데이터 추출
____파일 시스템 슬랙 공간 추출
____파일 시스템 비할당 블록 추출
____오프셋을 이용한 수동 추출
__마무리하며

[인터넷서점 알라딘 제공]