4차 산업혁명 붐이 일어남에 따라 디지털 기기에 의한 의존성이 과거와 달리 엄청 높아졌다. 때문에 사건이 발생하게 되면 사건 해결을 위해서 디지털포렌식 기술이 필수적으로 요구되고 있다.

본 책은 이러한 디지털포렌식 기술 중에서도 가장 기초가 되는 윈도우포렌식에 대해서 다루고 있다. 전 세계적으로 약 80%는 윈도우라는 운영체제를 사용 중에 있다. 즉 사건이 발생 하게 되면 윈도우포렌식은 빠질 수 없는 매우 중요한 분야이다.

본 책을 집필하게 된 계기는 디지털포렌식에서 있어 가장 기초인 윈도우 시스템에서 수집 가능한 증거물을 정리하고자 집필하게 되었다. 상세한 이론보다는 해당 증거물의 경로와 해당 증거물이 어떠한 기능을 하는지, 어떠한 정보를 분석 하여 활용 가능한지에 대해서 다뤘다. 가령 “혐의자가 인터넷에서 불법 컨텐츠를 다운받으면 어떠한 흔적이 남을까?”와 같이 윈도우시스템을 사용함에 있어 분석 가능한 항목에 대해서 알아보도록 하자.

윈도우의 가장 핵심인 레지스트리에서는 시스템의 기본정보 분석방법과, 사용자가 윈도우를 사용함에 있어서 시스템에 저장 되는 기록을 분석하는 방법, 정보유출이나 기밀문서 열람과 같은 문서와 관련된 흔적을 알 수 있는 문서 열람흔적 등을 다루었으며, 윈도우 아티팩트에서는 증거물로 활용 가능한 아티팩트들에 대해서 다루었다. 또한 침해사고 분야에서 가장 많이 사용되어 지고 있는 메모리 포렌식방법에 대해서도 내용을 다루었다. 메모리 포렌식에 있어 메모리를 덤프 하는 방법, 메모리 포렌식을 위한 환경구축 방법, 사용방법 등을 다뤘으며 마지막장에서는 앞서 살펴본 아티팩트 들을 분석하기 위한 유용한 오픈소스 도구 소개와 사용법을 함께 다뤘다.

이 책을 읽는 독자들로 하여금 윈도우포렌식의 기본을 다질 수 있으리라 생각된다. 100%완벽하진 않지만 중요한 내용은 모두 다루고 있기 때문에 훌륭한 기본서가 되리라 생각한다.

본 책을 읽으면서 궁금한 사항은 언제든지 e.encase@gmail.com으로 연락 주길 바란다.

01 Window Forensic 12
1.1 Registry 12
1.2 시스템 기본 정보 14
1.3 사용자 행위분석 28
1.4 문서열람 흔적 분석 58
1.5 윈도우 아티팩트 분석 62
02 메모리 포렌식 101
2.1 개요 101
2.2 메모리 덤프 101
2.3 메모리 분석 도구 105
2.4 Volatility 사용법 111
2.5 Volatility Workbench 191
03 오픈소스 도구 사용법 196
3.1 PCHunter 196
3.2 JumpListsView 200
3.3 Lnk Parser 202
3.4 Everything 204
10 3.5 NTFS Log Tracker 207
3.6 REGA 212
3.7 DCode 220
3.8 LastActivityView 222
3.9 UserAssistView 223
3.10 USBDeview 224
3.11 Thumbcache viewer 226
3.12 BrowsingHistoryView 228
3.13 Strings 234
3.14 dd 237
3.15 dumpIt 239
3.16 Autopsy 241
3.17 HxD 251
3.18 OTL 258
3.19 FTK imager 260
3.20 AnalyzerMFT 269