디지털 포렌식에서 가장 처음 이뤄지는 증거 수집 과정을 자세하고 친절하게 다룬다. 다양한 종류와 형태의 저장 매체에서 이미지를 추출하는 예시가 상세히 포함돼 있어 실제 침해사고 조사에도 응용할 수 있다. 특히 대부분의 예시들에서 Unix 도구를 사용함으로써 상용 툴에 대한 부담을 줄였다. 학습 가이드뿐만 아니라 필요할 때마다 찾아보는 포렌식 매뉴얼로도 활용할 수 있는 책이다.

[목 차]

0장. 디지털 포렌식 개요
__디지털 포렌식의 역사
____Pre-Y2K
____2000~2010
____2010~현재
__포렌식 증거 수집 트렌드 및 과제들
____증거의 크기, 위치 및 복잡성의 변화
____다중 법적 관할권 측면
____산업계, 학계 그리고 사법 기관의 협업
__사후 컴퓨터 포렌식의 원칙
____디지털 포렌식 표준
____피어 리뷰 연구
____산업 규정 및 모범 사례
____이 책에서 사용된 원칙

1장. 저장 매체 개요
__마그네틱 저장 매체
____하드 디스크
____마그네틱 테이프
____레거시 마그네틱 저장소
__비휘발성 메모리
____솔리드 스테이트 드라이브
____USB 플래시 드라이브
____이동식 메모리 카드
____레거시 비휘발성 메모리
__광학디스크 저장 매체
____콤팩트 디스크
____디지털 다용도 디스크
____블루레이 디스크
____레거시 광학 저장소
__인터페이스와 물리적 커넥터
____직렬 ATA
____직렬 연결 SCSI 및 파이버 채널
____비휘발성 메모리 익스프레스
____유니버셜 직렬 버스
____썬더볼트
____레거시 인터페이스
__명령, 프로토콜, 브릿지
____ATA 명령
____SCSI 명령
____NVME 명령
____브릿징, 터널링, 패스 스루
__특수 주제
____DCO와 HPA 드라이브 영역
____드라이브 서비스 및 유지 보수 영역
____UASP
____고급 포맷 4Kn
____NVME 네임스페이스
____솔리드 스테이트 하이브리드 디스크
__마무리하며

2장. 포렌식 증거 수집 플랫폼으로서의 리눅스
__포렌식 맥락에서의 리눅스와 OSS
____포렌식 랩에서 리눅스와 OSS의 이점
__포렌식 랩에서 리눅스와 OSS의 단점
__리눅스 커널과 저장 장치
____커널 장치 탐지
____/dev 내 저장 장치
____기타 특수 장치
__리눅스 커널과 파일 시스템
____커널 파일 시스템 지원
____리눅스에서의 파일 시스템 마운트
____포렌식 도구를 이용한 파일 시스템 접근
__리눅스 배포판과 셸
____리눅스 배포판
____셸
____명령 실행
____파이프 처리와 리다이렉션
__마무리하며

3장. 포렌식 이미지 포맷
__원본 이미지
____전통적인 dd
____포렌식 dd 변형
____데이터 복구 도구
__포렌식 포맷
____인케이스 EWF
____FTK SMART
____AFF
__포렌식 증거 보관소로서의 SquashFS
____SquashFS 배경
____SquashFS 포렌식 증거 보관소
__마무리하며

4장. 계획 및 준비
__감사 추적 유지
____작업 관리
________태스크워리어
________Todo.txt
________Shell Alias
____셸 히스토리
____터미널 리코더
____리눅스 감사
__수집 증거 및 명령 출력 정리
____파일 및 디렉터리의 이름 지정 규칙
____확장 가능한 조사 디렉터리 구조
____리다이렉션을 이용해 명령 출력 저장
__획득한 인프라 운반 평가
____이미지 크기와 디스크 크기 관련 요구 사항
____파일 압축
____희소 파일
____파일 및 이미지 크기 출력
____포렌식 이미지의 이동과 복사
____작업 완료 시간 예측
____성능과 병목 현상
____발열과 환경적인 요인
__포렌식 쓰기 방지 장치 보호
____하드웨어 쓰기 방지 장치
____소프트웨어 쓰기 방지 장치
____리눅스 포렌식 부팅 CD
____물리적 읽기 전용 모드가 있는 저장소
__마무리하며

5장. 수집 호스트에 조사 대상 매체 연결
__조사 대상 컴퓨터 하드웨어의 검사
____컴퓨터의 물리적 검사와 디스크 분리
____조사 대상 컴퓨터의 하드웨어 살펴보기
__수집 호스트에 조사 대상 디스크 연결
____수집 호스트의 하드웨어 살펴보기
____조사 대상 드라이브의 식별
__조사 대상 디스크의 정보 조회
____장치 식별 정보의 문서화
____hdparm으로 디스크 기능 조회
____smartctl로 SMART 데이터 추출
__숨겨진 섹터에 대한 접근 활성화
____DCO의 제거
____HPA의 제거
____드라이브 서비스 영역 접근
__ATA 비밀번호 보안과 자가암호화 드라이브
____ATA 비밀번호로 보호된 디스크의 식별과 잠금 해제
____Opal 자가암호화 드라이브의 식별과 잠금 해제
____암호화된 USB 드라이브
__이동식 매체의 연결
____광학 매체 드라이브
____자기테이프 드라이브
____메모리 카드
__기타 저장 장치의 연결
____애플 타깃 디스크 모드
____NVME SSD 드라이브
____블록 및 문자 접근을 지원하는 기타 장치
__마무리하며

6장. 포렌식 이미지 수집
__dd 도구를 이용한 이미지 수집
____표준 유닉스 dd와 GNU dd.
____dcfldd와 dc3dd
__포렌식 포맷으로 이미지 수집
____ewfacquire 도구
____AccessData ftkimager
____SquashFS 포렌식 증거 저장소
____다수의 목적지로 이미지 수집
__암호학을 이용한 디지털 증거 보존
____기본 암호 해싱
____해시 윈도우
____PGP와 S/MIME을 이용한 이미지 서명
____RFC-3161 타임스탬프 기록
__드라이브 고장과 오류 관리
____포렌식 도구의 오류 처리
____데이터 복구 도구
____SMART와 커널 오류
____손상된 드라이브를 위한 대안
____손상된 광학 매체
__네트워크상의 이미지 수집
____rdd를 이용한 원격 포렌식 수집
____ssh로 안전한 원격 이미지 수집
____SquashFS 증거 보관소로 원격 수집
____원격 디스크를 EnCase나 FTK 형식으로 수집
____Copy-On-Write 스냅샷을 통한 라이브 이미징
__이동식 매체 수집
____메모리 카드
____광학 디스크
____자기테이프
__RAID와 멀티디스크 시스템
____상용 RAID 수집
____JBOD와 RAID-0 스트라이프 디스크
____마이크로소프트 동적 디스크
____RAID-1 미러드 디스크
____리눅스 RAID-5
__마무리하며

7장. 포렌식 이미지 관리
__이미지 압축 관리
____표준 리눅스 압축 도구
____Encase EWF 압축 포맷
____FTKSMART 압축 포맷
____AFFlib 내장 압축
____SquashFS 압축 증거 보관소
__분할 이미지 관리
____GNU split 명령
____수집 중 이미지 분할
____분할 이미지 파일 모음에 접근
____분할 이미지 재조합
__포렌식 이미지의 무결성 검증
____수집 해시의 검증
____포렌식 이미지의 해시 값 재계산
____분할된 원시 이미지의 암호 해시
____해시 윈도우의 불일치 식별
____서명과 타임스탬프 검증
__이미지 포맷 간 변환
____원시 이미지로부터의 변환
____EnCase/E01 포맷의 변환
________SquashFS 보관소의 수동 생성
________EnCase에서 FTK로의 파일 변환
____FTK 포맷의 변환
____AFF 포맷의 변환
__암호화를 이용한 이미지 보호
____GPG 암호화
____OpenSSL 암호화
____포렌식 포맷 내장 암호화
____일반 디스크 암호화
__디스크 클로닝과 복제
____클론 디스크 준비
____HPA를 이용한 섹터 크기 복제
____클론 디스크에 이미지 파일 기록하기
__이미지 전송과 보관
____이동식 매체에 기록
____보관과 전송을 위한 저가형 디스크
____대규모 네트워크 전송
__안전한 소거와 데이터 처분
____개별 파일의 처분
____저장 장치의 안전 소거
____ATA 안전 삭제 단위 명령의 실행
____암호화된 디스크 키의 파괴
__마무리하며

8장. 특수 이미지 접근
__포렌식적으로 수집한 이미지 파일
____루프 장치와 원시 이미지 파일.
____포렌식 포맷 이미지 파일
____xmount로 부트 이미지 준비
__가상 머신 이미지
____QEMU QCOW2
____버추얼박스 VDI
____VMWare VMDK
____마이크로소프트 VHD
__운영 체제 암호화 파일 시스템
____마이크로소프트 BitLocker
____애플 FileVault
____리눅스 LUKS
____TrueCrypt와 VeraCrypt
__마무리하며

9장. 포렌식 이미지의 부분적 추출
__파티션 레이아웃과 파일 시스템의 식별
____파티션 구성
____파티션 테이블
____파일 시스템 식별
__파티션 추출
____개별 파티션 추출
____삭제된 파티션의 탐색과 추출
____파티션 사이의 틈새 공간 식별과 추출
____HPA와 DCO 섹터 구간 추출
__기타 부분별 데이터 추출
____파일 시스템 슬랙 공간 추출
____파일 시스템 비할당 블록 추출
____오프셋을 이용한 수동 추출
__마무리하며

브루스 니켈
스위스에 본사를 둔 글로벌 금융 기관인 UBS AG의 Cyber-Crime/IT Investigation &Forensics의 디렉터다. 1997년부터 은행의 Security and Risk 부서에서 근무했으며, 2005년부터 IT 포렌식 팀을 관리했다. 디지털 포렌식 커뮤니티에서 활발한 활동을 하고 있고, 다양한 디지털 포렌식 주제에 대한 연구 논문을 발표했다. 「Digital Investigation: The International Journal
of Digital Forensics and Incident Response」 국제 저널의 편집자이며, DFRWS Europe의 조직 위원회 위원이기도 하다.
크랜필드 대학(Cranfield University)에서 네트워크 포렌식 박사 학위를 취득했다. 포렌식 웹 사이트는 http://digitalforensics.ch이며, nikkel@digitalforensics.ch로 연락할 수 있다.



옮긴이 곽경주
성균관대학교 컴퓨터공학과를 졸업하고, 동 대학원에서 정보 보호를 전공하며 악성코드 연관성 분석 기술을 이용한 사이버 범죄 조직 식별 관련 연구로 석사 학위를 받았다. 금융결제원 침해 사고 대응 팀을 거쳐 현재 금융보안원 침해 위협 분석 팀 과장으로 재직하며 악성 코드 분석, 사고 조사, 위협 인텔리전스 등 위협 분석 업무를 수행하고 있다. 경찰청 사이버 위협 전문가 그룹 자문 위원, 차세대 보안 리더 양성 프로그램(Best of the Best) 디지털 포렌식 멘토, KB 금융 지주 기술 랩 멘토, 김치콘 심사 위원 등으로 활발한 활동을 하고 있으며, 2016년 사이버 치안 대상 행정자치부 장관상을 받았다. 또한 Blackhat, HITCON, PACSEC, HackCon, KIMCHICON, CODEBLUE, Virus Bulletin 등의 다양한 국내외 콘퍼런스에서 왕성한 발표 및 연구 활동을 하고 있다.

옮긴이 박모현
서울대학교 컴퓨터공학과를 졸업하고, 금융결제원 금융 ISAC를 거쳐 현재는 금융보안원 보안관제부에서 대리로 재직하며 보안관제 및 정보 공유 업무를 수행하고 있다.
보안관제뿐 아니라 침해 사고 대응 분야에도 관심이 많으며, 보안 업무에 최신 기술을 적용하기 위한 연구를 하고 있다.