이러한 연구에 대한 결과물로 메모리 포렌식(Memory Forensic)은 작년 초겨울 파워포인트(PowerPoint) 슬라이드로 만들어 내부적으로 공유도 했었고, 별도로 회사 간행물인 "월간 안"에 "볼라틸리티를 이용한 메모리 포렌식 분석"이라는 제목으로 이번 2월호에 원고가 게시 되었습니다. 해당 원고가 A4로 40 페이지가 넘다 보니, 담당자 분께서 깊은 고민 끝에 2부작으로 나누어 실어주셨습니다. 그래서 현재 1부만 게시되었고, 2부는 다음 3월호에 실릴 예정이라고 합니다.
이렇게 해서 메모리 포렌식에 대해서는 어느 정도 매듭을 지었고, 두 번째로 2013년 12월부터는 레지스트리 포렌식에 대한 서적들과 논문들을 읽으면서, 실험이 필요한 부분들은 직접 검증을 하며 연구를 진행 중에 있습니다.
이 레지스트 포렌식 연구 과정에서 제일 먼저 참고하여 읽었던 서적이 오늘 포스팅하는 "철통보안, 윈도우즈 레지스트리 포렌식 보안 전문가를 위한 디지털 포렌식 분석" 입니다.
이 책 역시 컴퓨터 포렌식(Computer Forensic) 분야에 정통한 할렌 카비(Harlan Carvey)가 저술하였으며, 윈도우(Windows) 시스템의 핵심 구성 요소 중 하나인 레지스트리와 이에 대한 포렌식 기법들에 대해 다루고 있습니다. 역자 역시 한국 CISSP 협회에서 몇 번 뵈었던 백제현 이사님으로 컴퓨터 포렌식 분야에 정통하신 분입니다. 그 덕분에 번역이 정갈하게 잘 되어 원서를 다시 찾아 보지 않아도 될 정도로 잘 정리 되었습니다.
이 책의 가장 큰 장점을 언급한다면, 윈도우 시스템에 존재하는 레지스트리에 대한 개론에서부터 이를 검증할 수 있는 다양한 툴과 기법들을 같이 소개하고 있다는 점입니다. 이러한 부분으로 인해 레지스트리 분석을 통해 시스템으로부터 얻을 수 있는 데이터에 대해 종합적으로 생각해 볼 수가 있었습니다.
하지만, 레지스트리 부분에 대한 기술적인 설명만을 놓고 본다면 "윈도우 인터널즈(WINDOWS INTERNALS(제5판) 마이크로소프트 윈도우 커널 공식 가이드)" 보다는 자세하지 않습니다. 하지만 이 "윈도우즈 레지스트리 포렌식" 책은 레지스트리 포렌식에 대한 전반적인 이해를 돕고자 쓰여진 책이므로, 사실상 목적이 다르다고 볼 수 있습니다. 이러한 목적에 부합하기 위해 레지스트리를 대상으로 실험 할 수 있는 다양한 툴들과 기법들에 대해서는 충실하게 설명이 되어 있습니다.
개인적으로 한가지 아쉬운 부분은 악성코드 분석과 관련하여 자동 실행을 위한 윈도우 레지스트 부분에 대한 자세한 설명이 부족하며, 이러한 부분의 분석을 위한 툴이나 기법 소개도 역시 생각보다 풍부하지는 않습니다. 그러나 앞서 설명한 바와 레지스트리 포렌식에 대한 전반적인 이해를 돕기 위한 책입니다.
그러므로, 악성코드 분석에 관심 있으신 분들이나, 컴퓨터 포렌식에 관심 있으신 분들 모두 읽어도 도움이 많이 되는 기술 서적이라고 할 수 있습니다. 물론, 윈도우 레지스트리를 많이 다루어 왔지만, 다시 한번 되짚어 보고자 하시는 전문가 분들에게도 도움이 되는 책이라고 할 수 있습니다.
댓글 없음:
댓글 쓰기