지털증거의 수집․분석 전문 - 목 차 -

-- 목  차 --

제 I 장 증거 자료 수집을 위한 방법

1. 부분적 기능을 제공하는 도구 10

2. 통합 기능을 제공하는 도구(EnCase) 15

2.1. EnCase의 특징 16

2.2. 도스용 EnCase를 사용한 증거 수집 16

2.3. Windows용 EnCase의 사용 18

2.4. Case 관리 19

2.5. 증거 파일을 Case에 추가 19

2.6. 타임 존 설정 21

2.7. Recover Folders 22

2.8. Lost Files 24

2.9. 파일 서명 분석 24

2.10. 해쉬(Hash) 분석 28

2.11. 파일 및 폴더 31

2.12 키워드 검색 34

2.13 인스크립트(EnScript) 39

2.14 필터와 쿼리(Filters and Queries) 43

2.15 파티션 복구(Recovering Partitions) 44

2.16 증거물의 복원 45

2.17 증거물의 보존 47

제 II 장 컴퓨터 침해 사고 수사를 위한 지침

1. 서 론 49

1.1 목적과 범위 49

1.2. II 장의 구성 49

2. 컴퓨터 침해 사고의 구성 50

3. 사고의 처리 52

3.1 수사 준비 52

3.2 탐지와 분석 55

3.3 증거의 수집과 처리 75

3.4 사후 활동 81

3.5. 사고의 수사 대조표 86

3.6 권고 사항 88

4. 서비스 불능 공격 사고 92

4.1 사고의 정의와 예 92

4.2. 수사 준비 99

4.3 탐지 및 분석 100

4.4 증거의 수집과 처리 104

4.5 서비스 거부 공격의 수사를 위한 대조표 105

4.6 권고 사항 106

5. 악성 코드에 의한 사고 108

5.1 사고의 정의 및 예시 108

5.2. 준비 113

5.3 탐지 및 분석 114

5.4 증거의 수집과 처리 118

5.5 악의가 있는 코드에 의한 사건의 대응을 위한 대조표 118

5.6 권고 사항 119

6. 부정 접속 사고 120

6.1 사건의 정의와 예 120

6.2 준비 121

6.3 탐지 및 분석 121

6.4 증거의 수집과 처리 127

6.5 부정 접속 사건에 대응하기 위한 대조표 127

6.6 권고 사항 128

7. 부적절한 사용에 의한 사고 130

7.1 사건의 정의와 예 130

7.2 준비 131

7.3 탐지 및 분석 132

7.4 부정사용의 사고를 처리하기 위한 대조표 134

7.5 권고 사항 135

8. 다중으로 구성된 사고에 대한 대응 137

8.1 사고의 정의 및 예시 137

8.2 준비, 탐지 및 분석 138

8.3 다중으로 구성된 침해 사고에 대한 대조표 138

8.4 권고사항 139

부록 A - 권고사항 141

A.1 컴퓨터 보안사고 수사팀의 구성 141

A.2 준비 142

A.3 탐지 및 분석 145

A.4 증거 수집 147

A.5 사후 활동 147

부록 B - 수사의 시나리오 148

B.1 시나리오의 질문 148

B.2 시나리오 149

부록 C - 사고에 관계된 데이터 필드 162

C.1 기본적인 범위 162

C.2 수사관의 데이터 범위 163

부록 D -