메모리 덤프로 윈도우 악성코드 분석하기: 고급 (WinDbg 실습 교재 | 2 판)

메모리 덤프로 윈도우 악성코드 분석하기: 고급 (WinDbg 실습 교재 | 2 판)

$37.43
Ask a Question
Vendor: 에이콘출판 - 드미트리 보스토코프
Type: 프로그래밍일반
SKU: 9791161753157
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: 메모리덤프로윈도우악성코드분석하기고급WinDbg실습교재2판 컴퓨터/IT_프로그래밍 언어
Description
저자 드미트리 보스토코프가 직접 운영하는 www.patterndiagnostics.com의 교육 교재로, 악성코드에 감염된 Windows 시스템의 메모리를 WinDbg로 분석하는 방법을 다루는 실전 안내서다. 악성코드에 감염된 시스템에서는 시스템 또는 애플리케이션의 비정상 행위 발생할 수 있는데, 저자가 개발한 패턴 지향 진단 방법을 활용해 악성코드 여부를 파악 하는 방법을 설명한다. 실사례를 기반으로 제작된 실습 예제 파일을 주제별로 제공해 독자가 따라 할 수 있는 형식으로 구성됐으며, 각 주제별로 필요한 지식을 설명한다.
저자

드미트리보스토코프

(DmitryVostokov)
국제적으로인정받는전문가,강연자,교육자,과학자이자저술가다.패턴지향소프트웨어진단,포렌식,사전훈련,그리고소프트웨어진단교육기관(DA+TA:DumpAnalysis.org+TraceAnlaysis.org)의창립자다.
소프트웨어진단,포렌식,문제해결,메모리덤프분석,디버깅,소프트웨어추적및로그분석,역공학,악성코드분석분야에서30권이상의책을저술했다.리더십,테크놀로지,인력관리를포함한산업군에서소프트웨어아키텍처,디자인,개발,유지보수에있어20년이상의경험이있다.또한DiaThings,Logtellect,OpenTaskIterativeandIncrementalPublishing(OpenTask.com),SoftwareDiagnosticsServices(전MemoryDumpAnalysisServices),PatternDiagnostics.com,SoftwarePrognostics등을설립했다.
여가시간에는Debugging.TV에서다양한주제에대해강연을하거나,그가개척한소프트웨어서술학(SoftwareNarratology)및소프트웨어스토리에관한응용과학분야를연구하며,더나아가사물서술학(NarratologyofThings)과사물진단(DoT,DiagnosticsofThings)분야로발전시켜나가고있다.
현재이론적소프트웨어진단및이와관련한수학적기반지식에관심을갖고있다.

목차

소개

실전연습
__연습0:WinDbg다운로드,설치및확인
__연습M1A
__연습M2
__연습M3
__연습M4

주요질문/답변

부록
__악성코드분석패턴
____비정상모듈
____비정상토큰
____드라이버장치모음
____실행흔적
____가짜모듈
____숨겨진모듈
____숨겨진프로세스
____훅스웨어
____네임스페이스
____심볼이없는컴포넌트
____모듈외부의포인터
____패킹된코드
____패치된코드
____사전난독화흔적
____원시포인터
____RIP스택트레이스
____자가진단(커널모드)
____스택트레이스모음
____스택트레이스모음(I/O요청)
____문자열힌트
____알려지지않은모듈
__모든스레드의원시스택덤프(커널영역)
__64비트시스템에서의컴플릿스택트레이스

출판사 서평

★이책에서다루는내용★

■메모리덤프분석을위한WinDbg사용법
■프로세스,커널,컴플릿,물리메모리등여러유형의메모리덤프분석방법
■직접분석을따라할수있는실습파일제공
■메모리영역의구성및PE포맷
■모듈로딩전모듈의헤더와버전정보
■모듈로딩후주소맵,모듈헤더,버전정보,IAT,임포트라이브러리호출,모듈무결성확인
■패킹또는숨겨진모듈및실행흔적검사
■피해프로그램프로세스의메모리덤프에서악성코드점검
■커널메모리영역을살펴보고,CPU,프로세스,스레드목록화및분석
■CPU,IDT,SSDT,드라이버,디스패치테이블확인
■컴플릿메모리덤프에서프로세스탐색,64비트SSDT확인,프로세스와스레드토큰확인,숨겨진프로세스및드라이버발견,RIP스택
■악성코드분석패턴별정리

★이책의대상독자★

이과정은DebuggingToolsforWindows에포함된WinDbg디버거를이용해복잡한소프트웨어환경상의메모리덤프를분석해야하거나,소프트웨어가비정상적으로동작할경우에악성코드에의한것일지악성코드의존재여부를확인해야하는기술지원인력및고급엔지니어를대상으로한다.
따라서이책은컴퓨터메모리분석을위해WinDbg디버거를사용해보지않은소프트웨어엔지니어,품질보증및소프트웨어관리엔지니어,보안연구원,악성코드분석가들에게매우유용할것이다.뿐만아니라,악성코드탐지및분석개념이WinDbg명령에어떻게적용되는지도배우게될것이다.어셈블리어를읽을수있다면일부분도움이되겠지만,반드시필요한것은아니다.
이책을읽는독자들은이미WinDbg에어느정도익숙하다고가정하고,독자들이예제연습에집중하도록구성하고필요시개념을설명하는방법을선택했다.

■WinDbg디버거를사용해보지않은소프트웨어엔지니어,품질보증및소프트웨어관리엔지니어,보안연구원및악성코드분석가
■메모리에서악성코드존재여부를확인하고자하는기술지원인력및고급엔지니어

★옮긴이의말★

헝가리의수학자인폰노이만은제어장치,산술논리장치,메모리,입출력장치로구성된컴퓨터구조를확립했으며,이후현대의대부분컴퓨터는폰노이만의설계구조를따르고있다.따라서컴퓨터에서데이터를처리하려면우선데이터가메모리에로딩돼야한다.예컨대파일을실행하기위해서는실행코드가메모리에로딩돼야하고,파일을암호화하거나복호화하기위해서도메모리에데이터가로딩돼야한다.즉,모든데이터는메모리라는작업공간에서처리된다.메모리에저장된데이터를확보하고해석할수있다면이론적으로는컴퓨터의거의모든동작을파악할수있게되는셈이다.
2004년부터는메모리포렌식분야가태동하기시작했다.메모리는RAM을사용하므로휘발성이매우높은매체다.전원이인가되지않은경우메모리에저장된데이터는모두사라진다.이를극복하고자다양한방법으로활성시스템의메모리데이터를확보하기위한연구가진행돼왔다.또한메모리덤프에서정보를얻는방법도초기에는strings를이용한검색수준이었지만,현재는OS내부구조체,메모리관리방식등에대해많은연구가진행돼윈도우,리눅스,맥OSX등의운영체제에서메모리덤프만으로도OS의내부상태,애플리케이션의프로세스,악성코드탐지,루트킷탐지등많은정보를추출할수있게됐다.예를들어volatility같은도구를이용하면분석가가메모리의구조나동작방식을잘모르더라도한두줄의명령어를입력하는것만으로도메모리에서프로세스목록을추출하거나,악성코드를찾는등수백가지의플러그인을활용해메모리덤프에서다양한정보를추출해낼수있다.
단순히volatility도구를사용하는것이상의정보를얻기위해메모리를직접분석하기를희망하는엔지니어나보안분석가들은이책에서소개하는방법들을이용해윈도우시스템의메모리를추적하거나분석해볼수있을것이다.이책은악성코드감염여부를식별하기위해마이크로소프트사에서무료로제공하는WinDbg디버거를이용해프로세스메모리덤프나컴플릿메모리를직접분석하는방법을설명하며,저자의경험이녹아있는다양한탐지패턴을소개하고이를실습할수있도록구성돼있다.시스템크래시,행,CPU튐,메모리누수와같은비정상인증상이발생된시스템에서증상의원인을파악하거나,사전대응관점에서메모리를분석하고,소프트웨어흔적이나로그에대한보완적아티팩트로활용하는데도움이될것이다.메모리분석경험이있는독자라면제공되는메모리덤프파일을먼저분석한후저자의분석기법을살펴보는것도좋은접근방식일것이다.
이책은엔지니어를지원하기위한교육과정의교재로써진책이다.아쉽게도아직까지국내에많이소개되지는않았지만,저자인드미트리보스토코프는이분야에서20년이상의경험이있고,30권이상의책을저술한전문가다.이책은그중일부에불과하다이책이외에도많은교육과정과저서에대해서는http://patterndiagnostics.com을참고하길바란다.
마지막으로포렌식분야를시작하면서항상마음에새기고있는문구를소개하며마친다.
“Asyoucanseeasmuchasyouknow(아는만큼보인다).”