리버싱 윈도우
장애 해킹 성능 운영에 관한 실전 교과서
로드북
2020년 03월 28일 출간
국내도서 : 2013년 08월 23일 출간
(개의 리뷰)
(
0%의 구매자)
- eBook 상품 정보
- 파일 정보 PDF (43.50MB)
- ISBN 9788997924547
- 지원기기 교보eBook App, PC e서재, 리더기, 웹뷰어
-
교보eBook App
듣기(TTS) 가능
TTS 란?텍스트를 음성으로 읽어주는 기술입니다.
- 전자책의 편집 상태에 따라 본문의 흐름과 다르게 텍스트를 읽을 수 있습니다.
- 이미지 형태로 제작된 전자책 (예 : ZIP 파일)은 TTS 기능을 지원하지 않습니다.
PDF 필기가능 (Android, iOS)
이 상품은 배송되지 않는 디지털 상품이며,
교보eBook앱이나 웹뷰어에서 바로 이용가능합니다.
작품소개
이 상품이 속한 분야
『리버싱 윈도우』는 역분석과 운영과 성능, 보안 등 넓은 범위를 다루고 있다. 단순 이론만 가르쳐주는 방식이 아니라 실제로 디버깅 환경을 구축해보고 내부 구조를 살펴보는 방식을 취하고 있으며 윈도우 시스템의 구조에 대한 이해를 바탕으로 어떻게 해킹이나 장애를 진단하고 해결해가는지를 실습 위주로 보여준다.
1부. 윈도우 구조: MBR에서 로그온까지
1장. 부팅의 시작: MBR (실습)
1.1 실습 준비
1.2 MBR 영역 코드 분석
1.3 MBR 영역 실시간 분석
1.4 부트 섹터
2장 Windbg 준비 (실습)
2.1 실습 준비
2.2 심볼 설정
2.3 커널 디버깅
3장 시스템 시작: 커널 생성 (Ntos****.exe)
3.1 System과 Idle
4장 커널과 유저의 소통: 시스템 프로세스
4.1 서브시스템(Subsystem)
4.2 세션 관리자 Smss.exe
4.3 서브시스템 관리자 Csrss.exe
4.3.1 LPC
4.4 로그인 관리자 Winlogon.exe
4.4.1 새로운 세션 0 관리자 Wininit.exe
4.5 보안 관리자 - Lsass.exe
4.6 서비스 관리자 Services.exe
4.6.1 서비스 계정
4.7 유저 초기화 - Userinit.exe
4.8 아직 끝나지 않은 부팅 - 자동 실행
5장 커널 진입: Ntdll.dll
6장 운영: 성능/관리 (실습)
6.1 실습 준비
6.2 성능
6.2.1 성능 모니터링
6.2.2 Xperf
6.2.3 네트워크
6.3 관리
6.3.1 WMI
6.4 덤프 분석
2부 윈도우 내부 동작 이해
7장 프로세스, 스레드(실습)
7.1 EPROCESS, KPROCESS
8장 레지스터
9장 어셈블리 (실습)
9.1 실습 준비
9.2 MOV 명령
9.3 CMP 명령
9.4 ADD/SUB 명령
9.5 PUSH/POP 명령
9.6 INC/DEC 명령
9.7 NOT/AND/OR/XOR 명령
9.8 DIV/IDIV 명령
9.9 CALL/JMP/RET 명령
10장 스택
10.1 함수 호출 규약
11장 스레드 스케줄링
12장 퀀텀
13장 디스패칭
13.1 Interrupt Dispatching
13.2 System Service Dispatching
13.3 Exception Dispatching
13.3.1 1st Chance, 2nd Chance 확인/분석
13.3.2 KiDebugRoutine
14장 메모리 관리
14.1 메모리 풀
14.2 힙
14.3 페이지 테이블 엔트리(PTE)
14.4 데스크탑 힙(Desktop heap)
15장 I/O Request
15.1 드라이버, 디바이스, 파일 개체
3부 윈도우 역분석: 해킹과 장애
16장 인지의 중요성
16.1 해킹 진행 절차
16.1.1 정보 수집 단계
16.1.2 취약점 확인(공격) 단계
17장 역분석의 묘미: 프로그램 역분석 (실습)
17.1 기계어를 분석한다
17.2 디어셈블러(디버거)
17.3 디컴파일러
17.3.1 C/C++
17.3.2 .NET (C#)
17.3.3 그외
17.4 분석 준비 ? PE 구조 (실습)
17.4.1 실습 준비
17.4.2 PE 구조(Header)
17.4.2.1 DOS Header
17.4.2.2 NT Header
17.4.2.3 IMAGE_OPTIONAL_HEADER32
17.4.2.4 Section Header
17.4.2.5 IAT(Import Address Table), EAT(Export Address Table)
17.5 프로그램 정적 분석
17.5.1 PEiD
17.5.2 Strings
17.5.3 Virustotal
17.6 프로그램 동적 분석
18장 증거 확보/분석을 위한 데이터 수집(실습)
18.1 실습 준비
18.2 휘발성 데이터
18.2.1 시스템 이름
18.2.2 시스템 시간
18.3.3 디스크 정보 수집
18.2.4 로그인 유저
18.2.5 사용 중인 프로세스 리스트
18.2.6 사용 중인 서비스 리스트
18.2.7 사용중인 핸들
18.2.8 사용 중인 Dll
18.2.9 변조된 시스템 파일
18.2.10 숨김 파일
18.2.11 최근에 접근한 파일
18.2.12 네트워크 인터페이스 정보
18.2.13 네트워크 사용 정보
18.2.14 네트워크 공유 리스트
18.2.15 메모리
18.2.15.1 메모리와 프로그램(실행 파일) 분석의 차이와 이유
18.2.15.2 프로세스별 메모리 덤프 생성
18.2.15.3 전체 메모리 덤프 생성
18.2.16 클립보드 및 명령 사용 내역
18.3 비휘발성 데이터
18.3.1 이벤트 로그
18.3.2 레지스트리
18.3.3 디스크 데이터
18.3.4 MBR 영역
18.4 수집 방법
18.4.1 로컬 수집
18.4.2 원격 수집
18.4.2.1 Psexec
18.4.2.2 Netcat
18.4.2.3 FSP와 FRUC
18.5 MPSReport - 종합 로그 수집 도구
19장 분석
19.1 로그 분석
19.1.1 분석을 위한 준비
19.1.2 tr
19.1.3 awk
19.1.4 uniq
19.1.5 sort
19.2 메모리 분석
19.2.1 Volatility
19.3 레지스트리 분석
19.3.1 키, 값
19.3.2 하이브
19.3.3 Regripper
19.3.3.1 System
19.3.3.2 Software
19.3.3.3 Security
19.3.3.4 Sam
19.3.4 삭제된 레지스트리 확인
19.4 패킷 분석
19.4.1 TCP/IP 4계층
19.4.2 패킷 분석
19.4.3 패킷 수집
19.4.3.1 Tcpdump
19.4.3.2 Tshark
19.4.4 패킷 통계(세션)
19.4.4.1 Argus
19.5 파일 분석
19.5.1 파일 헤더
19.5.2 Autopsy
19.5.3 삭제 파일
19.5.4 파일 복구
19.5.5 파일 복구 방지
20장 증명할 수 있는 근거: 무결성
20.1 Fciv
20.2 FileVerifier++
21장 난 네가 한 일을 알고 있다: 사용자 추적
21.1 실행 프로그램 - Userassist Keys
21.2 실행 프로그램 - MUICache
21.3 열어본 문서와 입력 실행 ? MRUList, RunMRU
21.4 인터넷 흔적 - Typedurls
21.5 메일 추적 - Exchange
22장 보초를 세우다: 감시
22.1 시스템 감시 - 파일
22.2 시스템 감시 - 로그
22.3 네트워크 감시
22.3.1 Windows에서 스구일 클라이언트 실행하기
22.3.2 IP 역추적
22.3.3 IP 확인
22.3.4 Nmap
22.3.4.1 오픈 포트 스캔
22.3.4.2 차단 포트 스캔형(스텔스 스캔)
22.3.4.3 스캔 부가 옵션
4부 끝나지 않는 이슈: 보안과 운영
23장 후킹
23.1 유저 모드 후킹
23.1.1 SetWindowsHookEx
23.1.2 CreateRemoteThread
23.2 커널 모드 후킹
23.2.1 IRP 후킹
23.2.2 SSDT 후킹
23.3 루트킷 탐지
23.3.1 HookShark
23.3.2 GMER 869
23.3.3 Kaspersky TDSSKiller
23.3.4 Avast Anti-Rootkit
23.3.5 Sophos Anti-Rootkit
24장 안티 디버깅: 프로그램 보호
24.1 디버거 탐지
24.1.1 INT3 (예외 처리)
24.1.2 GetTickCount (시간차)
24.1.3 BeingDebugged (프로세스 정보)
24.1.4 CheckRemoteDebuggerPresent (API)
24.1.5 HardwareBreakpoint (브레이크 포인트)
24.1.6 FindWindow (프로세스 확인)
24.2 프로세스(프로그램) 보호
24.2.1 스레드 ID
24.2.2 스택 영역
24.2.3 DKOM
24.3 패킹?프로그램 암호화
24.3.1 패커 분석
24.3.2 패킹 도구-더미다
24.3.3 JunkCode
25장 네트워크 보호
25.1 ACL 기본
25.1.1 일반형(Standard) Access-list
25.1.2 확장형(Extended) Access-List
25.1.3 왜 인바운드(Inbound)를 차단할까?
25.1.4 Established를 통한 인바운드 트래픽 필터링 설정
25.2 DDoS 보호 설정
25.2.1 사설, 내부 네트워크, Broadcast Spoofing 필터링 구성
25.2.2 RPF(Reverse Path Forwarding)를 이용한 Source IP Spoofing 필터링
25.2.3 TCP Syn Flooding 필터링
25.2.4 Rate limit 설정을 통한 필터링
25.3 논리적 격리 VLAN
25.4 IP 숨기기, 속이기
26장 IP 기반 로그인 보안 프로세스 구성과 개발 (실습)
26.1 현재 로그인 보안 프로세스
26.2 우리가 알아야 할 것
26.3 어떻게 통제할 것인가?
26.4 실습 준비
26.5 실전 개발?웹 부분
26.5.1 10초 이내 로그인 방지
26.5.2 블록(차단) IP 확인
26.5.3 1시간 이내 로그인 성공 계정 보호, 공격 IP 설정
26.6 실전 개발 - 저장 프로시저 부분
27장 NoSQL?!: 부하 분산 (실습)
27.1 실습 준비
27.2 SqlCacheDependency를 이용한 ASP 캐시
28장 유용한 도구들
28.1 Paros
28.2 CooxieBar
28.3 Cppcheck
28.4 DumpbinGUI
28.5 Fiddler2
28.6 Websecurify
28.7 Gflags
1장. 부팅의 시작: MBR (실습)
1.1 실습 준비
1.2 MBR 영역 코드 분석
1.3 MBR 영역 실시간 분석
1.4 부트 섹터
2장 Windbg 준비 (실습)
2.1 실습 준비
2.2 심볼 설정
2.3 커널 디버깅
3장 시스템 시작: 커널 생성 (Ntos****.exe)
3.1 System과 Idle
4장 커널과 유저의 소통: 시스템 프로세스
4.1 서브시스템(Subsystem)
4.2 세션 관리자 Smss.exe
4.3 서브시스템 관리자 Csrss.exe
4.3.1 LPC
4.4 로그인 관리자 Winlogon.exe
4.4.1 새로운 세션 0 관리자 Wininit.exe
4.5 보안 관리자 - Lsass.exe
4.6 서비스 관리자 Services.exe
4.6.1 서비스 계정
4.7 유저 초기화 - Userinit.exe
4.8 아직 끝나지 않은 부팅 - 자동 실행
5장 커널 진입: Ntdll.dll
6장 운영: 성능/관리 (실습)
6.1 실습 준비
6.2 성능
6.2.1 성능 모니터링
6.2.2 Xperf
6.2.3 네트워크
6.3 관리
6.3.1 WMI
6.4 덤프 분석
2부 윈도우 내부 동작 이해
7장 프로세스, 스레드(실습)
7.1 EPROCESS, KPROCESS
8장 레지스터
9장 어셈블리 (실습)
9.1 실습 준비
9.2 MOV 명령
9.3 CMP 명령
9.4 ADD/SUB 명령
9.5 PUSH/POP 명령
9.6 INC/DEC 명령
9.7 NOT/AND/OR/XOR 명령
9.8 DIV/IDIV 명령
9.9 CALL/JMP/RET 명령
10장 스택
10.1 함수 호출 규약
11장 스레드 스케줄링
12장 퀀텀
13장 디스패칭
13.1 Interrupt Dispatching
13.2 System Service Dispatching
13.3 Exception Dispatching
13.3.1 1st Chance, 2nd Chance 확인/분석
13.3.2 KiDebugRoutine
14장 메모리 관리
14.1 메모리 풀
14.2 힙
14.3 페이지 테이블 엔트리(PTE)
14.4 데스크탑 힙(Desktop heap)
15장 I/O Request
15.1 드라이버, 디바이스, 파일 개체
3부 윈도우 역분석: 해킹과 장애
16장 인지의 중요성
16.1 해킹 진행 절차
16.1.1 정보 수집 단계
16.1.2 취약점 확인(공격) 단계
17장 역분석의 묘미: 프로그램 역분석 (실습)
17.1 기계어를 분석한다
17.2 디어셈블러(디버거)
17.3 디컴파일러
17.3.1 C/C++
17.3.2 .NET (C#)
17.3.3 그외
17.4 분석 준비 ? PE 구조 (실습)
17.4.1 실습 준비
17.4.2 PE 구조(Header)
17.4.2.1 DOS Header
17.4.2.2 NT Header
17.4.2.3 IMAGE_OPTIONAL_HEADER32
17.4.2.4 Section Header
17.4.2.5 IAT(Import Address Table), EAT(Export Address Table)
17.5 프로그램 정적 분석
17.5.1 PEiD
17.5.2 Strings
17.5.3 Virustotal
17.6 프로그램 동적 분석
18장 증거 확보/분석을 위한 데이터 수집(실습)
18.1 실습 준비
18.2 휘발성 데이터
18.2.1 시스템 이름
18.2.2 시스템 시간
18.3.3 디스크 정보 수집
18.2.4 로그인 유저
18.2.5 사용 중인 프로세스 리스트
18.2.6 사용 중인 서비스 리스트
18.2.7 사용중인 핸들
18.2.8 사용 중인 Dll
18.2.9 변조된 시스템 파일
18.2.10 숨김 파일
18.2.11 최근에 접근한 파일
18.2.12 네트워크 인터페이스 정보
18.2.13 네트워크 사용 정보
18.2.14 네트워크 공유 리스트
18.2.15 메모리
18.2.15.1 메모리와 프로그램(실행 파일) 분석의 차이와 이유
18.2.15.2 프로세스별 메모리 덤프 생성
18.2.15.3 전체 메모리 덤프 생성
18.2.16 클립보드 및 명령 사용 내역
18.3 비휘발성 데이터
18.3.1 이벤트 로그
18.3.2 레지스트리
18.3.3 디스크 데이터
18.3.4 MBR 영역
18.4 수집 방법
18.4.1 로컬 수집
18.4.2 원격 수집
18.4.2.1 Psexec
18.4.2.2 Netcat
18.4.2.3 FSP와 FRUC
18.5 MPSReport - 종합 로그 수집 도구
19장 분석
19.1 로그 분석
19.1.1 분석을 위한 준비
19.1.2 tr
19.1.3 awk
19.1.4 uniq
19.1.5 sort
19.2 메모리 분석
19.2.1 Volatility
19.3 레지스트리 분석
19.3.1 키, 값
19.3.2 하이브
19.3.3 Regripper
19.3.3.1 System
19.3.3.2 Software
19.3.3.3 Security
19.3.3.4 Sam
19.3.4 삭제된 레지스트리 확인
19.4 패킷 분석
19.4.1 TCP/IP 4계층
19.4.2 패킷 분석
19.4.3 패킷 수집
19.4.3.1 Tcpdump
19.4.3.2 Tshark
19.4.4 패킷 통계(세션)
19.4.4.1 Argus
19.5 파일 분석
19.5.1 파일 헤더
19.5.2 Autopsy
19.5.3 삭제 파일
19.5.4 파일 복구
19.5.5 파일 복구 방지
20장 증명할 수 있는 근거: 무결성
20.1 Fciv
20.2 FileVerifier++
21장 난 네가 한 일을 알고 있다: 사용자 추적
21.1 실행 프로그램 - Userassist Keys
21.2 실행 프로그램 - MUICache
21.3 열어본 문서와 입력 실행 ? MRUList, RunMRU
21.4 인터넷 흔적 - Typedurls
21.5 메일 추적 - Exchange
22장 보초를 세우다: 감시
22.1 시스템 감시 - 파일
22.2 시스템 감시 - 로그
22.3 네트워크 감시
22.3.1 Windows에서 스구일 클라이언트 실행하기
22.3.2 IP 역추적
22.3.3 IP 확인
22.3.4 Nmap
22.3.4.1 오픈 포트 스캔
22.3.4.2 차단 포트 스캔형(스텔스 스캔)
22.3.4.3 스캔 부가 옵션
4부 끝나지 않는 이슈: 보안과 운영
23장 후킹
23.1 유저 모드 후킹
23.1.1 SetWindowsHookEx
23.1.2 CreateRemoteThread
23.2 커널 모드 후킹
23.2.1 IRP 후킹
23.2.2 SSDT 후킹
23.3 루트킷 탐지
23.3.1 HookShark
23.3.2 GMER 869
23.3.3 Kaspersky TDSSKiller
23.3.4 Avast Anti-Rootkit
23.3.5 Sophos Anti-Rootkit
24장 안티 디버깅: 프로그램 보호
24.1 디버거 탐지
24.1.1 INT3 (예외 처리)
24.1.2 GetTickCount (시간차)
24.1.3 BeingDebugged (프로세스 정보)
24.1.4 CheckRemoteDebuggerPresent (API)
24.1.5 HardwareBreakpoint (브레이크 포인트)
24.1.6 FindWindow (프로세스 확인)
24.2 프로세스(프로그램) 보호
24.2.1 스레드 ID
24.2.2 스택 영역
24.2.3 DKOM
24.3 패킹?프로그램 암호화
24.3.1 패커 분석
24.3.2 패킹 도구-더미다
24.3.3 JunkCode
25장 네트워크 보호
25.1 ACL 기본
25.1.1 일반형(Standard) Access-list
25.1.2 확장형(Extended) Access-List
25.1.3 왜 인바운드(Inbound)를 차단할까?
25.1.4 Established를 통한 인바운드 트래픽 필터링 설정
25.2 DDoS 보호 설정
25.2.1 사설, 내부 네트워크, Broadcast Spoofing 필터링 구성
25.2.2 RPF(Reverse Path Forwarding)를 이용한 Source IP Spoofing 필터링
25.2.3 TCP Syn Flooding 필터링
25.2.4 Rate limit 설정을 통한 필터링
25.3 논리적 격리 VLAN
25.4 IP 숨기기, 속이기
26장 IP 기반 로그인 보안 프로세스 구성과 개발 (실습)
26.1 현재 로그인 보안 프로세스
26.2 우리가 알아야 할 것
26.3 어떻게 통제할 것인가?
26.4 실습 준비
26.5 실전 개발?웹 부분
26.5.1 10초 이내 로그인 방지
26.5.2 블록(차단) IP 확인
26.5.3 1시간 이내 로그인 성공 계정 보호, 공격 IP 설정
26.6 실전 개발 - 저장 프로시저 부분
27장 NoSQL?!: 부하 분산 (실습)
27.1 실습 준비
27.2 SqlCacheDependency를 이용한 ASP 캐시
28장 유용한 도구들
28.1 Paros
28.2 CooxieBar
28.3 Cppcheck
28.4 DumpbinGUI
28.5 Fiddler2
28.6 Websecurify
28.7 Gflags
작가정보
저자(글) 한주성
저자 : 한주성
저자 한주성은 마이크로소프트 기술지원부 플랫폼팀에서 근무하다 2008년 인젠에서 보안 컨설팅 업무를 수행했다. 삼주시스템, 윈디소프트를 거쳐 현재 아이덴티티게임즈 SE팀 팀장으로 주로 보안 업무를 담당하고 있다. CCIE-Security, CISA, CISSP, MCTS:Windows Internal 등의 자격증을 보유하고 있으며, 월간 마이크로소프트웨어에 2011년부터 현재까지 역분석과 관련된 다수의 글을 연재하였고, 현재 Enterprise Security MVP(마이크로소프트 전문가 활동 공로상)로 활동 중이다.
이 상품의 총서
Klover리뷰 (0)
Klover리뷰 안내
Klover(Kyobo-lover)는 교보를 애용해 주시는 고객님들이 남겨주신 평점과 감상을 바탕으로, 다양한 정보를 전달하는 교보문고의 리뷰 서비스입니다.
1. 리워드 안내
구매 후 90일 이내에 평점 작성 시 e교환권 100원을 적립해 드립니다.
- - e교환권은 적립일로부터 180일 동안 사용 가능합니다.
- - 리워드는 5,000원 이상 eBook, 오디오북, 동영상에 한해 다운로드 완료 후 리뷰 작성 시 익일 제공됩니다. (2024년 9월 30일부터 적용)
- - 리워드는 한 상품에 최초 1회만 제공됩니다.
- - sam 이용권 구매 상품 / 선물받은 eBook은 리워드 대상에서 제외됩니다.
2. 운영 원칙 안내
Klover리뷰를 통한 리뷰를 작성해 주셔서 감사합니다. 자유로운 의사 표현의 공간인 만큼 타인에 대한 배려를 부탁합니다. 일부 타인의 권리를 침해하거나 불편을 끼치는 것을 방지하기 위해 아래에 해당하는 Klover 리뷰는 별도의 통보 없이 삭제될 수 있습니다.
- 도서나 타인에 대해 근거 없이 비방을 하거나 타인의 명예를 훼손할 수 있는 리뷰
- 도서와 무관한 내용의 리뷰
- 인신공격이나 욕설, 비속어, 혐오 발언이 개재된 리뷰
- 의성어나 의태어 등 내용의 의미가 없는 리뷰
구매 후 리뷰 작성 시, e교환권 100원 적립
문장수집
문장수집 안내
문장수집은 고객님들이 직접 선정한 책의 좋은 문장을 보여 주는 교보문고의 새로운 서비스 입니다. 교보eBook 앱에서 도서 열람 후 문장 하이라이트 하시면 직접 타이핑 하실 필요 없이 보다 편하게 남길 수 있습니다. 마음을 두드린 문장들을 기록하고 좋은 글귀들은 ‘좋아요’ 하여 모아보세요. 도서 문장과 무관한 내용 등록 시 별도 통보없이 삭제될 수 있습니다.
리워드 안내
- 구매 후 90일 이내에 문장 수집 등록 시 e교환권 100원을 적립해 드립니다.
- e교환권은 적립일로부터 180일 동안 사용 가능합니다.
- 리워드는 5,000원 이상 eBook에 한해 다운로드 완료 후 문장수집 등록 시 제공됩니다. (2024년 9월 30일부터 적용)
- 리워드는 한 상품에 최초 1회만 제공됩니다.
- sam 이용권 구매 상품 / 선물받은 eBook / 오디오북·동영상 상품/주문취소/환불 시 리워드 대상에서 제외됩니다.
구매 후 문장수집 작성 시, e교환권 100원 적립
교보eBook 첫 방문을 환영 합니다!
신규가입 혜택 지급이 완료 되었습니다.
바로 사용 가능한 교보e캐시 1,000원 (유효기간 7일)
지금 바로 교보eBook의 다양한 콘텐츠를 이용해 보세요!
