Top

EnCase 컴퓨터 포렌식 [EnCase 공인 분석관 자격시험 EnCE 공식 가이드]

  • 원서명EnCase Computer Forensics -- The Official EnCE: EnCase Certified Examiner Study Guide (ISBN 9780470901069)
  • 지은이스티브 번팅(Steve Bunting)
  • 옮긴이장기식
  • ISBN : 9788960776890
  • 50,000원
  • 2015년 04월 17일 펴냄
  • 페이퍼백 | 868쪽 | 188*250mm
  • 시리즈 : 디지털 포렌식

책 소개

이 책에서 사용된 예제 파일은 아래 페이지의 Downloads에서 받아보실 수 있습니다.
http://as.wiley.com/WileyCDA/WileyTitle/productCd-0470901063,miniSiteCd-SYBEX.html

요약

디지털 포렌식이 최근 보안업계에서 주목을 받기 시작하면서 디지털 포렌식 업무와 관련된 자격 제도에도 관심이 쏠리고 있다. 이 책은 디지털 포렌식과 관련해 가장 인지도가 높은 EnCase 공인 분석관 자격증을 취득하려는 사람들을 위한 EnCase 시험(EnCE) 공식 가이드다. 저자들의 풍부한 실무 경험과 EnCase 교육 경험을 바탕으로 집필된 이 책은 기본적인 지식부터 현장 업무에 이르기까지 방대한 디지털 포렌식 업무를 EnCase 프로그램을 바탕으로 소개하고 있어 공인 분석관 자격증 시험을 위한 기본 입문서로 손색이 없다. 특히 연습 문제를 통해 독자들이 EnCase 프로그램을 단계별로 실습을 할 수 있고, 2단계 실습 시험을 위해 EnCase 프로그램 사용에 익숙해질 수 있는 기회도 제공하고 있기 때문에 독자들이 시험을 준비하는 데 큰 도움이 될 것이다.

이 책에서 다루는 내용

■ EnCase 공인 분석관 시험(EnCE)에 필요한 내용을 확고히 다질 수 있도록 체계적으로 접근한, 시험 목표에 대한 총괄적인 설명

■ 핵심 기술을 강화시킬 수 있는 연습문제

■ 학습한 지식을 실제 직무 역할 상황 속에서 활용할 수 있는 현실적인 시나리오

■ 실전 시험 대비가 가능하도록 각 장 말미에 ‘복습 문제’ 수록

■ 시험을 치르기 전에 반드시 숙지할 내용을 각 장마다 정리한 ‘시험에 필요한 핵심 사항’ 수록

이 책의 대상 독자

이 책의 대상 독자는 가장 먼저 EnCase 공인 분석관(EnCE) 자격증을 취득하려는 사람들이다. EnCE 자격증은 컴퓨터 포렌식 업계의 모든 영역에서 급속도로 인기를 얻고 있을 뿐만 아니라 그 수요도 늘고 있다. EnCE 자격증은 컴퓨터 포렌식 업계의 요구를 충분히 충족시키므로, 많은 고용주들이 EnCE 자격증의 중요성을 인식하고 있으며 자격증을 취득한 잠재적인 구직자들을 찾고 있다. 이 책은 또한 체계적인 교육을 받고 있거나 독학 중인 학생들을 대상으로 한다. 각 단원에는 출판사 홈페이지에 있는 증거 파일들을 사용하는 연습문제를 포함하고 있어 이상적인 교육 교재로 활용할 수 있다. 마지막으로 이 책은 EnCase와 포렌식에 대해 더 많이 배우고자 하는 사람들을 대상으로 한다. 모든 주제는 자격증을 준비하는 수험생들이 철저히 대비하기 위한 목적에 부합하도록 자격 취득에 필요한 사항과 그 이상을 다룬다. 일부 경우에는 독자가 참여한 공식 교육 수업에서 배운 것 이상의 내용도 포함돼 있다. 또한 중고급 사용자를 위한 포괄적인 내용도 담겨 있다.

이 책의 구성

EnCE 자격증 프로그램은 EnCase 중급 컴퓨터 포렌식 교육이나 그에 상당하는 교육 과정에 참가한 사람들을 위한 것이다. 이 책은 독자들이 이 정도 수준까지 다다를 수 있도록 컴퓨터 포렌식의 일반적인 지식과 EnCase의 기초 지식을 갖췄다는 가정하에 만들어졌다. 또한 재교육이 필요한 사람들은 이 책에서 많은 정보를 찾아볼 수 있을 것이다. 많은 사람이 EnCase 초기 버전을 사용 중이며, 아직 EnCase 7으로 바꾸지는 않았을 것이다. EnCase 7의 이전 버전을 사용하는 독자들은 EnCase 7에서 근본적인 변화를 가져온 EnCase 환경을 설명하는 6장부터 공부하면 도움이 될 것이다.
각 장은 우선 기본 개념부터 시작해 마지막에는 고급 내용을 다루는 학습 과정에 따라 관련 개념으로 구성했다. 각 장의 마지막에는 ‘정리’와 ‘시험에 필요한 핵심 사항’, ‘복습 문제’를 실었다. ‘정리’ 절에서는 해당 장에서의 핵심적인 요점만 간략하게 정리했으며, ‘시험에 필요한 사항’ 절은 시험을 위해 알아둬야 하는 개념을 설명했다. ‘복습 문제’를 충분히 활용하기를 권장한다. 문제를 활용하는 좋은 방법은 각 장을 읽기 전에 미리 문제를 풀어보고, 각 장을 읽은 후에 다시 문제를 풀어보는 방식이다. 올바른 답을 찾을 수 있도록 문제를 잘 푸는 것은 항상 중요하다. 그러나 더 중요한 것은 문제에 담긴 개념을 이해하는 것이다. 다음 장으로 넘어가기 전에 해당 장의 모든 내용을 숙지해야 한다. 지식은 누적되는 것이기 때문에 부족함은 지식이 쌓이는 것을 방해한다. 자격증 시험(필기와 실습)을 준비하고 있다면 잘 이해하지 못한 부분을 완전히 파악할 때까지 시간을 들여야 한다. 자격증 취득을 위한 공부는 자격증 취득만큼 중요하다.

저자/역자 소개

저자 서문

■ EnCE 자격증이란?
EnCE는 EnCase 프로그램 사용법과 일반적인 컴퓨터 포렌식의 개념을 모두 다루는 충실한 자격증 프로그램을 요청한 고객들의 요구 사항을 만족시킬 수 있도록 가이던스 소프트웨어(Guidance Software)가 2001년 말에 개발한 자격증이다. 자격증 프로그램이 만들어진 이후로 EnCE 자격증은 국제적인 컴퓨터 포렌식 업계에서 가장 널리 알려지고 선망받는 자격증의 하나가 되었다. 왜냐고 묻는다면 답은 간단하다. 시험 과정이 많은 것을 요구하며 도전적이기 때문이다. 독자들은 필기와 실기 시험을 통과할 확실한 지식(knowledge)과 기술(skill)과 역량(ability)을 갖춰야 한다. 결코 EnCE 자격증은 판촉을 위해 거저 주는 자격증이 아니다. 열심히 공부한다면 EnCE 자격증을 취득할 수 있다. EnCE 자격증 취득은 매우 자랑스러운 일이다. 더 나아가 업계에서 높은 수준에 있을 뿐만 아니라 현장에서 탁월한 능력을 갖췄다고 선택한 높은 수준의 엘리트층에 합류하게 된다. 컴퓨터 포렌식 분야에서 우수하다는 것은 선택 사항이 아니라 포렌식 업무를 위해 필요한 것임을 기억해둬야 한다.

■ EnCE가 공인된 이유
다음과 같은 이점이 EnCE가 공인받는 데 도움이 되었다.

  • EnCE 자격증은 직업적인 성취도를 증명한다.
  • EnCE 자격증은 승진을 위한 시장성을 높여줄 뿐만 아니라 기회도 제공한다.
  • EnCE 자격증은 법정이나 청문회 및 진상조사위원회에서 증언할 때 전문가적인 신뢰성과 지속성을 높여준다.
  • EnCE 자격증은 동료들로부터 인정을 받게 된다.

EnCE 자격증은 컴퓨터 포렌식 분야에서 업적과 능력을 실제로 보여줄 뿐만 아니라 문서로 증명해준다. 자격시험에 응시하기 위해서는 수사관(investigator)과 분석관(examiner)으로서의 경험을 반드시 갖춰야 하며, EnCase 컴퓨터 포렌식 중급(Intermediate Computer Forensic) 수준의 교육이나 동등한 수준의 정규 교육을 받아야 한다. 그러고 나서 필기시험과 실기시험을 통과해야 자격증을 취득할 수 있다. EnCE 자격증은 고객들과 고용주, 법원, 동료들 및 다른 사람들에게 자격증 소지자가 최고 수준의 직업 기준을 만족하는 컴퓨터 포렌식 관련 지식과 기술 및 능력을 갖췄다고 보증해준다.

저자 소개

스티브 번팅(Steve Bunting)

EnCE이자 CCFT로서 30년이 넘는 법 집행기관과 컴퓨터 포렌식 분야 경력이 있으며, 세계적인 포렌식 컨설팅 회사인 포워드 디스커버리(Forward Discovery) 사의 선임 포렌식 컨설턴트다. 이전에는 델라웨어(Delaware) 대학교 경찰서의 부서 책임자로 근무하면서 연방과 주, 그리고 지역 법 집행기관을 위해 컴퓨터 시스템에 대한 분석을 수행했다. 또한 『Mastering Windows Network Forensics and Investigation』(Sybex, 2012)의 공동 저자다.

옮긴이의 말

시중에는 디지털 포렌식을 다루는 책들이 여러 권 나와 있다. 이 책들은 디지털 포렌식 기본 입문서부터 관련법 및 EnCase 사용자 설명서까지 내용까지 다양하다. 그 중에서도 이 책은 가이던스 소프트웨어(Guidance software)의 공인 분석관(EnCE) 자격증을 취득하려는 디지털 포렌식 실무자들을 대상으로 한다.
EnCase 프로그램은 국내에서 가장 널리 사용되는 상용 포렌식 도구이지만, 고가이기 때문에 디지털 포렌식 관연 업무를 진행하는 정부기관이나 업체 직원들만 주로 사용하고 있다. 그러나 최근에는 대학과 같은 교육기관에서도 EnCase를 사용해 교육을 진행하고 있어 EnCase 프로그램을 접할 기회가 예전에 비해 상당히 많아졌다. 이 책은 이런 교육기관이나 학생들이 좀 더 체계적으로 EnCase와 디지털 포렌식에 대한 교육과 함께 공인 분석관 자격증 시험을 준비할 수 있는 교재로도 활용이 가능하다.
특히 EnCase 7은 이전 버전에 비해 프로그램이 인터페이스가 많이 달라져 이전 버전에 익숙했던 사람들조차도 프로그램의 사용에 익숙해지기까지 상당한 시간이 소요됐다. 나도 프로그램에 익숙해지는 데 고생을 많이 했기 때문에, 이 책은 EnCase 버전 6에서 버전 7로 이동하려는 사람들을 위한 사람들에게 많은 도움이 될 것이라 생각한다.
이 책을 나름대로 최선을 다해 쉽게 번역하려고 했다는 것을 말하고 싶다. 번역하면서 특히 다음과 같은 부분에 중점을 뒀다.
이 책에서 사용되는 전문 용어는 한국정보통신기술협회가 발행한 ‘정보통신용어사전’을 바탕으로 번역했다. 사전에 나와 있지 않은 단어들은 공식적이지는 않지만 마이크로소프트 테크넷(TechNet) 등을 참조해 현재 널리 사용되는 용어로 번역했으며, 그 외에는 나름대로 우리말의 의미에 맞춰 번역을 시도했다. 혼란을 야기할 만한 용어는 우리말로 번역한 용어 옆에 영문을 병기했다.

특정 용어에 대해서는 이 책에서도 주석을 달아 놓았지만, 그 외에 일반인이 이 책을 읽을 때 알아야 할 용어를 나름대로 선택해 ‘정보통신용어사전’을 바탕으로 설명을 달아 놓았다. EnCase 프로그램이나 운영체제 등에서 사용되는 용어는 시험을 위해 가급적 원래의 용어를 사용했으며, 한글 운영체제의 경우에는 일일이 확인해 실제 운영체제에서 볼 수 있는 용어를 사용했다.
번역을 진행하면서 책에서 다루는 내용이 상당히 방대함을 깨달았다. 실제 번역을 해보기 전에는 필요한 부분만 읽어서 더 그랬는지도 모르겠다. 디지털 포렌식, 특히 컴퓨터 포렌식이라는 분야는 다뤄야 할 내용이 상당히 많은 영역이기에, 모든 내용을 요약해 책 한 권에 담아냈다는 사실이 경이롭기만 하다. 물론 경험이 풍부한 실무자에게는 그동안의 경험을 요약할 수 있는 계기가 되겠지만, 이제 막 공부를 시작하는 실무자에게는 상당한 기본 지식을 제공할 수 있을 것이라 기대한다.
이 책을 끝까지 번역하기까지 많은 시간이 걸렸다. 독자들에게 EnCase에 대한 내용을 쉽게 전달할 수 있는 책을 만들어야 한다는 목적이 없었더라면 중간에 포기했을지도 모른다. 그러나 번역을 끝내고 한 권의 책으로 만들어진 것을 보니 내가 정말로 독자들이 알기 쉽게 글을 썼는가 하는 걱정이 앞선다. 부디 EnCase 공인 분석관 자격증에 관심 있는 독자들에게 이 책의 번역이 조금이라도 도움되길 바란다.

옮긴이 소개

장기식

2006년부터 경찰청 디지털포렌식센터에서 디지털 포렌식 업무를 수행해왔으며, 현재 경찰청 사이버안전국 디지털포렌식센터 첨단기법개발 팀을 맡고 있다. 인터폴 포렌식 교관 양성 프로그램과 KOICA와 경찰대학에서 주관하는 KOICA-CIP 프로그램의 교관으로 디지털 포렌식 교육을 진행하며, 한국디지털포렌식학회 이사로도 활동 중이다. 주요 번역서로서는 『보안을 위한 효율적인 방법 PKI』(인포북, 2003)가 있다.

목차

목차
  • 1장 컴퓨터 하드웨어
    • 컴퓨터 하드웨어 구성 부품
      • 부팅 절차
    • 파티션
    • 파일 시스템
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습문제

  • 2장 파일 시스템
    • FAT 기초
      • FAT의 물리적인 배치
      • EnCase를 사용해 디렉터리 엔트리 보기
      • FAT의 기능
    • NTFS 기초
    • CD 파일 시스템
    • exFAT
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 3장 신속 대응
    • 계획과 준비
      • 물리적인 위치
      • 직원
      • 컴퓨터 시스템
      • 사무실에서 출발 전에 가져가야 하는 것
      • 수색 권한
    • 현장에서의 증거물 취급
      • 현장 확보
      • 현장 기록과 사진 촬영
      • 컴퓨터 증거 압수
      • 증거물 포장과 꼬리표 붙이기
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 4장 디지털 증거 획득
    • 포렌식용 EnCase 부팅 디스크 만들기
    • EnCase 부팅 디스크를 사용한 컴퓨터 부팅
      • 보이지 않는 HPA와 DCO 데이터 보기
      • DOS 부팅을 사용하는 다른 이유
      • DOS 부팅을 사용하는 절차
    • 디스크에서 디스크로 DOS 획득
      • 디스크에서 디스크로 DOS 획득 절차
      • 디스크에서 디스크로 DOS 획득에 대한 추가 정보
    • 네트워크 획득
      • 네트워크 획득을 사용하는 이유
      • 네트워크 케이블 이해
      • EnCase 네트워크 부팅 디스크 준비
      • EnCase 네트워크 부팅 CD 준비
      • 네트워크 획득 절차
    • FastBloc/Tableau를 이용한 획득
      • 사용 가능한 FastBloc 모델
      • FastBloc 2의 기능
      • Tableau(FastBloc)를 이용한 획득 절차
    • FastBloc SE를 이용한 획득
      • FastBloc SE 소개
      • FastBloc SE를 이용한 획득 절차
    • LinEn을 이용한 획득
      • 읽기 전용으로 파일 시스템 마운트
      • 최신 버전의 LinEn으로 리눅스 부팅 CD 업데이트
      • LinEn 실행
      • LinEn을 이용한 획득 절차
    • Enterprise와 FIM을 이용한 획득
    • 휴대용 EnCase
    • 유용한 힌트
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 5장 EnCase의 개념
    • EnCase 증거 파일 형식
    • CRC, MD5, SHA-1
    • 증거 파일의 구성 요소와 기능
    • 새로운 증거 파일 형식
    • 증거 파일의 검증
    • 디스크와 볼륨에 대한 해시 값 계산
    • EnCase 사건 파일
    • EnCase 백업 유틸리티
    • EnCase 환경설정 파일
    • 임시 증거 폴더
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 6장 EnCase의 환경
    • 홈 화면
    • EnCase 프로그램의 화면 배치
    • 사건 만들기
    • 트리 창
    • 테이블 창
      • 테이블 보기
      • 갤러리 보기
      • 타임라인 보기
      • 디스크 보기
    • 보기 창
      • Text 보기
      • Hex 보기
      • Picture 보기
      • Report 보기
      • Doc 보기
      • Transcript 보기
      • File Extents 보기
      • Permission 보기
      • Decode 보기
      • Field 보기
      • Lock 옵션
      • Dixon 상자
      • 위치 데이터(GPS)
      • 찾기 기능
      • 기타 보기와 도구
      • 조건식과 필터
      • EnScript
      • 텍스트 스타일
      • 창 조정
      • 기타 보기
      • 전역 보기와 설정
      • EnCase 옵션
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 7장 데이터 검색과 북마크
    • 데이터의 이해
      • 2진수
      • 16진수
      • 문자
      • ASCII
      • 유니코드
    • EnCase 증거 처리기
    • 데이터 검색
      • 키워드 만들기
      • GREP 키워드
      • 검색 시작
      • 검색 결과 보기와 결과 북마크
      • 북마크
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 8장 파일 시그니처 분석과 해시 분석
    • 파일 시그니처 분석
      • 애플리케이션 연결의 이해
      • 새 파일 시그니처 생성
      • 파일 시그니처 분석 실행
    • 해시 분석
      • MD5 해시
      • 해시 집합과 해시 라이브러리
      • 해시 분석
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 9장 윈도우 아티팩트
    • 날짜와 시간
      • 표준 시간대
      • 윈도우 64비트 시간 정보
      • 표준 시간대 시차 보정
    • 휴지통
      • 휴지통 동작의 세부 사항
      • INFO2 파일
      • 휴지통에서 파일의 소유자 확인
      • 휴지통에서 복원되거나 삭제된 파일
      • EnCase 증거 처리기를 사용해 휴지통 파일의 상태 확인
      • 휴지통을 거치지 않고 삭제
      • 윈도우 비스타/윈도우 7 휴지통
    • 링크 파일
      • 바로 가기 속성 변경
      • 링크 파일의 포렌식적 중요성
      • 링크 파일 파서 사용
    • 윈도우 폴더
    • Recent 폴더
    • Desktop 폴더
    • 내 문서/문서
    • Send To 폴더
    • Temp 폴더
    • Favorites 폴더
    • 윈도우 비스타의 Low 폴더
    • Cookies 폴더
    • History 폴더
    • 임시 인터넷 파일
    • 스왑 파일
    • 하이버네이션 파일
    • 인쇄 스풀링
    • 기존 운영체제의 아티팩트
    • 윈도우 볼륨 섀도 복사본
    • 윈도우 이벤트 로그
      • 이벤트 로그에서 사용할 수 있는 정보의 종류
      • 감사 수준 결정
      • 윈도우 비스타/7 이벤트 로그
      • 윈도우 이벤트 로그 파서 사용
      • 더 많은 정보
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 10장 고급 EnCase
    • 파티션 찾기와 마운트
    • 파일 마운트
    • 레지스트리
      • 레지스트리의 역사
      • 레지스트리의 구성과 용어
      • EnCase에서의 레지스트리 마운트와 내용 보기
      • 레지스트리 연구 기법
    • EnScript와 필터
      • EnScript 실행
      • 필터와 조건식
    • 이메일
    • Base64 인코딩
    • EnCase 복호화 스위트
    • 가상 파일 시스템(VFS)
    • 복원
    • 물리 디스크 에뮬레이터(PDE)
    • 다 함께 모아놓기
    • 정리
    • 시험에 필요한 핵심 사항
    • 복습 문제

  • 부록A 복습 문제 해답
  • 부록B 종이 없는 보고서 작성
  • 부록C 추가 학습 도구

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안