실전 포렌식 증거 수집 (리눅스 도구를 활용한 디지털 증거 수집)

실전 포렌식 증거 수집 (리눅스 도구를 활용한 디지털 증거 수집)

$35.70
Ask a Question
Vendor: 에이콘출판 - 브루스 니켈
Type: 보안/해킹
SKU: 9791161752532
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: 실전포렌식증거수집리눅스도구를활용한디지털증거수집 컴퓨터/IT_보안/해킹
Description
디지털 포렌식에서 가장 처음 이뤄지는 증거 수집 과정을 자세하고 친절하게 다룬다. 다양한 종류와 형태의 저장 매체에서 이미지를 추출하는 예시가 상세히 포함돼 있어 실제 침해사고 조사에도 응용할 수 있다. 특히 대부분의 예시들에서 Unix 도구를 사용함으로써 상용 툴에 대한 부담을 줄였다. 학습 가이드뿐만 아니라 필요할 때마다 찾아보는 포렌식 매뉴얼로도 활용할 수 있는 책이다.
저자

브루스니켈

스위스에본사를둔글로벌금융기관인UBSAG의Cyber-Crime/ITInvestigation&Forensics의디렉터다.1997년부터은행의SecurityandRisk부서에서근무했으며,2005년부터IT포렌식팀을관리했다.디지털포렌식커뮤니티에서활발한활동을하고있고,다양한디지털포렌식주제에대한연구논문을발표했다.「DigitalInvestigation:TheInternationalJournal
ofDigitalForensicsandIncidentResponse」국제저널의편집자이며,DFRWSEurope의조직위원회위원이기도하다.
크랜필드대학(CranfieldUniversity)에서네트워크포렌식박사학위를취득했다.포렌식웹사이트는http://digitalforensics.ch이며,nikkel@digitalforensics.ch로연락할수있다.

목차

헌사
추천의글
지은이소개
옮긴이소개
옮긴이의말
들어가며

0장.디지털포렌식개요
__디지털포렌식의역사
____Pre-Y2K
____2000~2010
____2010~현재
__포렌식증거수집트렌드및과제들
____증거의크기,위치및복잡성의변화
____다중법적관할권측면
____산업계,학계그리고사법기관의협업
__사후컴퓨터포렌식의원칙
____디지털포렌식표준
____피어리뷰연구
____산업규정및모범사례
____이책에서사용된원칙

1장.저장매체개요
__마그네틱저장매체
____하드디스크
____마그네틱테이프
____레거시마그네틱저장소
__비휘발성메모리
____솔리드스테이트드라이브
____USB플래시드라이브
____이동식메모리카드
____레거시비휘발성메모리
__광학디스크저장매체
____콤팩트디스크
____디지털다용도디스크
____블루레이디스크
____레거시광학저장소
__인터페이스와물리적커넥터
____직렬ATA
____직렬연결SCSI및파이버채널
____비휘발성메모리익스프레스
____유니버셜직렬버스
____썬더볼트
____레거시인터페이스
__명령,프로토콜,브릿지
____ATA명령
____SCSI명령
____NVME명령
____브릿징,터널링,패스스루
__특수주제
____DCO와HPA드라이브영역
____드라이브서비스및유지보수영역
____UASP
____고급포맷4Kn
____NVME네임스페이스
____솔리드스테이트하이브리드디스크
__마무리하며

2장.포렌식증거수집플랫폼으로서의리눅스
__포렌식맥락에서의리눅스와OSS
____포렌식랩에서리눅스와OSS의이점
__포렌식랩에서리눅스와OSS의단점
__리눅스커널과저장장치
____커널장치탐지
____/dev내저장장치
____기타특수장치
__리눅스커널과파일시스템
____커널파일시스템지원
____리눅스에서의파일시스템마운트
____포렌식도구를이용한파일시스템접근
__리눅스배포판과셸
____리눅스배포판
____셸
____명령실행
____파이프처리와리다이렉션
__마무리하며

3장.포렌식이미지포맷
__원본이미지
____전통적인dd
____포렌식dd변형
____데이터복구도구
__포렌식포맷
____인케이스EWF
____FTKSMART
____AFF
__포렌식증거보관소로서의SquashFS
____SquashFS배경
____SquashFS포렌식증거보관소
__마무리하며

4장.계획및준비
__감사추적유지
____작업관리
________태스크워리어
________Todo.txt
________ShellAlias
____셸히스토리
____터미널리코더
____리눅스감사
__수집증거및명령출력정리
____파일및디렉터리의이름지정규칙
____확장가능한조사디렉터리구조
____리다이렉션을이용해명령출력저장
__획득한인프라운반평가
____이미지크기와디스크크기관련요구사항
____파일압축
____희소파일
____파일및이미지크기출력
____포렌식이미지의이동과복사
____작업완료시간예측
____성능과병목현상
____발열과환경적인요인
__포렌식쓰기방지장치보호
____하드웨어쓰기방지장치
____소프트웨어쓰기방지장치
____리눅스포렌식부팅CD
____물리적읽기전용모드가있는저장소
__마무리하며

5장.수집호스트에조사대상매체연결
__조사대상컴퓨터하드웨어의검사
____컴퓨터의물리적검사와디스크분리
____조사대상컴퓨터의하드웨어살펴보기
__수집호스트에조사대상디스크연결
____수집호스트의하드웨어살펴보기
____조사대상드라이브의식별
__조사대상디스크의정보조회
____장치식별정보의문서화
____hdparm으로디스크기능조회
____smartctl로SMART데이터추출
__숨겨진섹터에대한접근활성화
____DCO의제거
____HPA의제거
____드라이브서비스영역접근
__ATA비밀번호보안과자가암호화드라이브
____ATA비밀번호로보호된디스크의식별과잠금해제
____Opal자가암호화드라이브의식별과잠금해제
____암호화된USB드라이브
__이동식매체의연결
____광학매체드라이브
____자기테이프드라이브
____메모리카드
__기타저장장치의연결
____애플타깃디스크모드
____NVMESSD드라이브
____블록및문자접근을지원하는기타장치
__마무리하며

6장.포렌식이미지수집
__dd도구를이용한이미지수집
____표준유닉스dd와GNUdd.
____dcfldd와dc3dd
__포렌식포맷으로이미지수집
____ewfacquire도구
____AccessDataftkimager
____SquashFS포렌식증거저장소
____다수의목적지로이미지수집
__암호학을이용한디지털증거보존
____기본암호해싱
____해시윈도우
____PGP와S/MIME을이용한이미지서명
____RFC-3161타임스탬프기록
__드라이브고장과오류관리
____포렌식도구의오류처리
____데이터복구도구
____SMART와커널오류
____손상된드라이브를위한대안
____손상된광학매체
__네트워크상의이미지수집
____rdd를이용한원격포렌식수집
____ssh로안전한원격이미지수집
____SquashFS증거보관소로원격수집
____원격디스크를EnCase나FTK형식으로수집
____Copy-On-Write스냅샷을통한라이브이미징
__이동식매체수집
____메모리카드
____광학디스크
____자기테이프
__RAID와멀티디스크시스템
____상용RAID수집
____JBOD와RAID-0스트라이프디스크
____마이크로소프트동적디스크
____RAID-1미러드디스크
____리눅스RAID-5
__마무리하며

7장.포렌식이미지관리
__이미지압축관리
____표준리눅스압축도구
____EncaseEWF압축포맷
____FTKSMART압축포맷
____AFFlib내장압축
____SquashFS압축증거보관소
__분할이미지관리
____GNUsplit명령
____수집중이미지분할
____분할이미지파일모음에접근
____분할이미지재조합
__포렌식이미지의무결성검증
____수집해시의검증
____포렌식이미지의해시값재계산
____분할된원시이미지의암호해시
____해시윈도우의불일치식별
____서명과타임스탬프검증
__이미지포맷간변환
____원시이미지로부터의변환
____EnCase/E01포맷의변환
________SquashFS보관소의수동생성
________EnCase에서FTK로의파일변환
____FTK포맷의변환
____AFF포맷의변환
__암호화를이용한이미지보호
____GPG암호화
____OpenSSL암호화
____포렌식포맷내장암호화
____일반디스크암호화
__디스크클로닝과복제
____클론디스크준비
____HPA를이용한섹터크기복제
____클론디스크에이미지파일기록하기
__이미지전송과보관
____이동식매체에기록
____보관과전송을위한저가형디스크
____대규모네트워크전송
__안전한소거와데이터처분
____개별파일의처분
____저장장치의안전소거
____ATA안전삭제단위명령의실행
____암호화된디스크키의파괴
__마무리하며

8장.특수이미지접근
__포렌식적으로수집한이미지파일
____루프장치와원시이미지파일.
____포렌식포맷이미지파일
____xmount로부트이미지준비
__가상머신이미지
____QEMUQCOW2
____버추얼박스VDI
____VMWareVMDK
____마이크로소프트VHD
__운영체제암호화파일시스템
____마이크로소프트BitLocker
____애플FileVault
____리눅스LUKS
____TrueCrypt와VeraCrypt
__마무리하며

9장.포렌식이미지의부분적추출
__파티션레이아웃과파일시스템의식별
____파티션구성
____파티션테이블
____파일시스템식별
__파티션추출
____개별파티션추출
____삭제된파티션의탐색과추출
____파티션사이의틈새공간식별과추출
____HPA와DCO섹터구간추출
__기타부분별데이터추출
____파일시스템슬랙공간추출
____파일시스템비할당블록추출
____오프셋을이용한수동추출
__마무리하며

맺음말
찾아보기

출판사 서평

이책은많은곳에필요하고,가장적절한시기에제공된다.최근몇년동안디지털증거의보존은기업거버넌스,컴플라이언스,형사및민사소송및군사작전에결정적인역할을수행했다.이러한동향은지리적으로제한되지는않으며개발도상국을포함한대부분의대륙에적용된다.
정통한조직은인적자원의불만,정책위반및고용종료를처리할때관련컴퓨터시스템을보존한다.일부조직에서는규정준수를위해데이터를사전예방적으로보존하기도한다.이책은합리적인비용으로기업전체에구현할수있는확장가능한솔루션을제공한다.
대부분의범죄는디지털증거를포함하고있으며,제한된자원과교육이제공되는소규모의법집행기관에데이터를보관해야하는책임이점차커지고있다.이책은이러한기관의일상적인문제에실질적인솔루션을제공하는소중한자원이다.
민간사안은컴퓨터,서버,이동식미디어및백업테이프를비롯한많은데이터소스에대량의데이터가분산될수있다.이러한상황에서는효율적이고효과적인방법이중요하며이책은이러한요구사항도충족시킨다.
다양한상황에서디지털증거를보존하는것이중요해짐에따라적절한보존프로세스를사용하는일이중요해졌다.보존과정의약점은디지털조사의모든후속단계에서문제를야기할수있는반면,포렌식관점에서적절한방법과도구를사용해제시된증거는명백한사고조사결과의기반을제공한다.
이와더불어디지털증거를보존해야할필요성이커지면서다양한환경및사용사례에대해신뢰할수있고저렴하며적용할수있는도구에대한요구가커지고있다.
이책은오픈소스기술에집중함으로써이러한요구사항을해결한다.오픈소스도구는높은투명성,저렴한비용및적용성에대한이점을갖고있다.투명성은다른사람이오픈소스도구의신뢰성을보다철저하게평가할수있게한다.알려진데이터세트를사용하는블랙박스테스트외에도소스코드를검토할수있다.
포렌식보존비용을줄이는것은리소스가제한돼있는기관과대량의데이터를처리해야하는모든조직에중요하다.
특정환경의요구에맞게오픈소스도구를적용할수있다는것이큰이점이다.일부조직은오픈소스도구와보존도구를기업또는포렌식랩의자동화된프로세스에통합하는반면,다른도구는현장에서사용하기위해이러한도구를휴대용시스템에저장해이용한다.
모든디지털포렌식프로세스및도구,특히오픈소스도구와관련된학습곡선이가파르게상승하고있다.브루스니켈(BruceNikkel)의광범위한경험과지식은이책에포함돼있는기술자료들의선명함을통해분명히알수있다.초보자뿐아니라전문가역시흥미를느끼며접근할수있다.
포렌식이미징의이론및핵심요구사항부터시작해오픈소스도구를사용해포렌식이미지를수집하는기술적측면을탐구한SquashFS의사용은간단하지만아주영리하고참신하며,포렌식이미징의핵심측면에대한실용적인오픈소스솔루션을제공한다.그리고포렌식이미지를관리하고포렌식검사를준비하는중요한단계에대한논의로마무리된다.
이책은기업,법집행기관,대테러단체등디지털증거를보존해야하는모든사람에게없어서는안될참고자료다.

★이책에서다루는내용★

■마그네틱하드디스크,SSD및플래시드라이브,광학디스크,마그네틱테이프및레거시기술의포렌식이미징방법
■연결된증거매체가실수로수정되지않도록보호하는방법
■대규모포렌식이미지파일,저장용량,이미지형식변환,압축,분할,복제,안전한전송및저장,안전한폐기관리방법
■암호화및조각별해싱,공개키서명및RFC-3161타임스탬프로증거무결성을보존하고검증하는방법
■NVME,SATAExpress,4K기본섹터드라이브,SSHD,SAS,UASP/USB3x및Thunderbolt와같은최신드라이브및인터페이스기술을사용하는방법
■다음과같은드라이브보안을관리하는방법:ATA패스워드,암호화된Thumb드라이브,오팔(Opal)자가암호화드라이브,BitLocker,FileVault및TrueCrypt를사용하는OS암호화드라이브등
■RAID시스템,가상머신이미지및손상된미디어와같이더욱복잡하거나어려운상황에서사용가능한이미지를확보하는방법

★이책의대상독자★

이책은두집단의사람들에게도움이된다.
첫째,숙련된포렌식조사관들이포렌식수집업무를수행함에있어리눅스명령줄스킬을향상시키는데도움이된다.둘째,디지털포렌식수집기법들을배우고싶어하는숙련된유닉스와리눅스관리자들에게유용하다.
이책의예상독자는사고대응팀,대기업내컴퓨터포렌식조사관,법률,감사,컨설팅기업의포렌식및전자증거기술자그리고사법기관의전통적인포렌식실무자들을포함한여러영역에서그수를늘려가고있는포렌식실무자들이다.

★이책의구성★

0장,‘디지털포렌식개요’는디지털포렌식에대한일반적인개론이다.이분야의역사와발전과정을다루며,방향성을제시한의미있는사건들을언급한다.특히법정에서사용할디지털증거의생성에필요한표준의중요성을강조한다.이책은전반적으로국제용이며지역별법적관할권에서독립적인것을목표로한다.오늘날이점은매우중요한데,점점더많은범죄수사가여러국경에걸쳐있고다수의관할권과관련돼있기때문이다.또한민간영역의포렌식역량의증가에따라민간포렌식랩,특히글로벌기업들에게유용할것이다.
1장,‘저장매체개요’는대용량저장매체,커넥터와인터페이스그리고매체접근에사용되는명령과프로토콜에대한기술적인개요를제공한다.전문포렌식랩환경에서일하는통상적인포렌식조사관이접하게될기술들을다룬다.서로다른저장매체인터페이스,프로토콜터널링,브릿징그리고저장매체가호스트시스템과연결되고상호작용하는방법을확실히이해할수있도록많은노력을기울였다.
2장,‘포렌식증거수집플랫폼으로서의리눅스’는포렌식수집플랫폼으로서의리눅스에대한개요를제공한다.리눅스와오픈소스소프트웨어사용의장단점을간략히짚고넘어간다.리눅스커널이시스템에새로연결된장치를인식하고다루는방법과이장치들에접근하는방법을설명한다.2장은리눅스배포판과셸실행의개요를제시한다.또한책전반에걸친중요한개념으로파이프의사용과리다이렉션을설명한다.
3장,‘포렌식이미지포맷’은업계에서공통적으로사용되는다양한원시및포렌식포맷을다룬다.이포맷들은수집된저장매체를위한디지털“증거봉투”와같다.3장은원시이미지,EnCase,FTK와같은상용포렌식포맷을설명하고,AFF와같은학계의포맷도다룬다.또한SquashFS기반의간단한포렌식증거보관소와그관리도구도소개한다.
4장,‘계획및준비’는책의전환점으로,이론적인영역을떠나실무적이고절차적인영역에들어선다.처음은정식포렌식보고서에사용하기위해로그와감사기록을유지하고명령정보를저장하는예시들로시작한다.포렌식조사관들이흔히겪는계획수립과실행계획상의문제들을다룬다.4장은실제수집절차를준비하기위해포렌식적으로견고하고쓰기방지처리된작업환경을구성하는부분으로끝난다.
5장,‘수집호스트에조사대상매체연결’은조사대상디스크를수집호스트에연결하고디스크에대한정보(ATA,SMART등)를모으는내용으로이어진다.이단계에서HPA와DCO등매체접근에대한제약이제거되고,잠기거나자가암호화된디스크들에대해접근할수있게된다.5장은애플타깃디스크모드등의몇몇특별한주제들도다룬다.이때의디스크는수집명령을실행할수있도록준비된채로대기중인상태다.
6장,‘포렌식이미지수집’에서는수집을실행하면서오픈소스와상용도구를이용해포렌식수집의여러가지형태를보여준다.해시,서명과타임스탬프서비스로증거를보존하는것에주안점을둔다.불량블록과에러와더불어네트워크상의원격수집등다양한시나리오를다룬다.테이프와RAID시스템의수집을포함하는특별주제도있다.
7장,‘포렌식이미지관리’는수집한디스크이미지의관리에집중한다.7장은포렌식이미지가성공적으로생성됐음을가정하고,일반적인수집후절차들을설명한다.이절차들에는이미지의압축,분할,암호화,포렌식포맷간의변환,이미지의클론및복제,제삼자에게로의이미지전송,장기보관을위한이미지처리등이포함된다.7장은안전한데이터삭제에대한절로마무리된다.
8장,‘특수이미지접근’은검사를위해수집이후에수행할수있는몇몇특별한작업을다룬다.루프장치를통한이미지접근,가상머신이미지접근,운영체제암호화이미지(BitLocker,FileVault,TrueCrypt/VeraCrypt등)접근등이포함된다.기타가상디스크보관소에접근하는내용도있다.이기법들은해당이미지들에대해포렌식분석을수행하고일반파일관리자나기타프로그램을이용해파일시스템을안전하게탐색할수있도록해줄것이다.
9장,‘포렌식이미지의부분적추출’은포렌식분석영역에발을담그며이미지로부터데이터일부분을추출하는법을보여준다(삭제된파티션을포함한).이에는파티션의식별과추출,파티션간공간의추출,슬랙공간의추출그리고사전에숨겨진디스크영역(DCO와HPA)의추출이포함된다.9장에는개별섹터와블록의추출이포함된부분별데이터추출의몇가지예시가있다.

★옮긴이의말★

보안산업의성장과더불어보안서적,그중에서도침해사고대응또는디지털포렌식과관련된서적들이점점늘어나고있다.하지만디지털포렌식의기초가되는이미징또는증거수집을상세히다루고있는책은그리많지않다.디지털포렌식에서이미징은잘꿰어야하는첫단추라고해도과언이아니다.적절한절차로이미징이진행되지않을경우그이후의조사는모두법적인효력을잃게될수도있다.이미징에실패하면침해사고를조사하는일이아예불가능할수도있다.이미징을정상적으로완료했다고가정하더라도그이후에수집된이미지를잘관리하는것도중요하다.실제현업에서발생하는침해사고의조사에있어증거수집계획수립부터실제수집을진행하며발생할수있는수많은문제점과조사자들의고민이이책을통해조금이나마해결되길바란다.
이책에는디지털포렌식증거를수집하고관리하는다양한도구및기법부터다양한저장매체와포렌식이미지포맷까지다루고있다.또한수집된증거들을효과적으로관리하는기법과도구들까지방대한내용을다루고있다.물론,기본이되는내용역시충실히다루고있으므로실무자들뿐아니라포렌식을공부하고이분야로진로를결정한학생들에게도많은도움이될수있을것이라생각한다.