English | Join | Login | Contact us
상세 메모리 포렌식(FOR526) SANS 온디맨드신청
FOR526: 상세 메모리 포렌식
36 CPE/CMU

악성코드는 숨어서 실행됩니다!

디지털 포렌식 및 사고대응(DFIR) 전문가는 윈도 메모리 포렌식 교육훈련을 통해 최고가 되어야 합니다. 휘발성 메모리를 분석하지 않는 수사관들은 범죄 현장에 증거를 남기고 떠납니다. RAM 콘텐츠에는 악성코드에 의해 실행되는 악의적인 프로세스와 잘못된 행위는 물론 사용자 행위에 대한 증거를 보유하고 있습니다. 이러한 증거는 종종 시스템에서 일어난 일에 대한 이야기를 풀어주는 스모킹 건으로 판명됩니다.

FOR526: 상세 메모리 분석 훈련 과정은 디지털 포렌식 조사관 및 사고대응(DFIR) 전문가가 실시간으로 시스템 메모리를 선별할 수 있고, 캡처된 메모리의 이미지를 분석하는 데 필요한 핵심 기술을 제공합니다. 본 과정은 오늘날 업계에서 가장 효과적인 프리웨어 및 오픈소스 도구를 사용하며, 이러한 도구 작동방식을 상세히 이해할 수 있습니다. FOR526은 고급 포렌식 전문가, 신뢰할 수 있는 내부자 및 사고대응 사례를 다루고자 하는 진지한 DFIR 조사관에게 중요한 과정입니다.

오늘날의 포렌식 사건의 경우 디스크 구조와 레지스트리 구조를 이해하는 것 만큼 메모리 구조를 이해하는 것이 중요합니다. 윈도 메모리 내부에 대한 깊이있는 지식을 보유하고 있는 조사관은 필요시 특정 대상 데이터에 접근할 수 있습니다. 윈도 이외의 플랫폼을 연구하는 사람들을 위해서 FOR526 과정에서는 실습을 통해 OSX 및 리눅스 메모리 포렌식 수집 및 분석 기술을 소개합니다.

분석가와 공격자 사이에는 군비 경쟁이 있습니다. 현대 악성코드 및 공격 후 익스플로잇 모듈은 점차적으로 휘발성 데이터를 파괴하는 더욱 지능적인 루트킷 및 안티 메모리 분석 메커니즘을 포함한 자체 방어기술이 적용되어 있습니다. 조사관은 공격자 또는 불량스러운 내부자의 의도를 식별하기 위해 메모리 내부에 대해 더 깊이 이해해야 합니다. FOR526 과정은 현장 전문가의 모범사례 및 권장 사항을 활용하여 실제 및 악성코드가 포함된 메모리 이미지로 획득, 검증 및 메모리 분석을 통해 DFIR 전문가에게 가이드해 줍니다.

FOR526: 상세 메모리 포렌식 과정은 다음의 주제를 강의합니다.

  • 적절한 메모리 획득: 대상 메모리를 캡처하여 데이터 무결성을 보장하고 수집/수집방해 행위에 대한 장애 극복
  • 메모리에 악성기능 찾는 방법: 불량, 숨김 및 프로세스 인젝션, 커널 수준 루트킷, DLL 하이재킹, 프로세스 중첩 및 지능적인 지속성 메커니즘을 탐지
  • 효과적인 단계별 메모리 분석 기법: 프로세스 타임라인, 높은 수준 및 낮은 수준의 분석 및 가상주소 공간(VAD) 트리를 사용하여 비정상적인 행위 파악
  • 모범 사례: 대상 메모리 분석을 위해 맞춤 구문 분석 스크립트를 개발하는 방법뿐만 아니라 선별, 라이브 시스템 분석 및 대체 수집 기술을 구현하는 시기

참석 대상

  • 사고대응 팀: 복잡한 보안사고/침입에 정기적으로 대응하고, 메모리 포렌식으로 업무 범위를 확장할 수 있는 방법을 알고 싶은 팀원
  • 경험 많은 디지털 포렌식 분석가: 메모리 포렌식에 대해서 좀 더 이해하고, 확정하고자 하는 분석가
  • 레드팀 멤버: 침투시험가 및 공격 상대자가 상대방의 행동을 식별할 수 있는 방법을 배우려는 개발자. 일반적인 실수로 인해 원격 시스템을 해킹할 수 있는 방법과 이를 방지하는 방법을 알고자하는 사람. 본 과정에서는 원격 시스템 포렌식 및 데이터 수집 기술을 다루며, 이를 공격 후 동작 절차 및 익스플로잇 종합 테스트로 통합할 수 있습니다.
  • 메모리 포렌식에 관한 분야별 전문가가 되고 싶어하는 법 집행기관, 정부 기관 또는 수사관
  • SANS FOR508 및 SEC504 수강생: 메모리 포렌식 기술을 한 차원 높히고자 하는 사람
  • 포렌식 전문가: 정기적으로 메모리를 확보하고 이미지 분석 기술 수준을 높이려는 조직에서 일하는 전문가

공유하기
최근 트위터 @ITLKorea
사이버보안 표준자료
CWE/SANS 가장 위험한 25大 소프트웨어 오류
효과적인 사이버 방어를 위한 20개 핵심 통제항목
자동차ISAC 사이버보안 모범사례
NICE 프레임워크
포켓 참고가이드
벤더
스폰서쉽
파트너쉽
연락
공지사항
문의
채용정보
공인강사지원
English
| 개인정보 취급 방침 | 통신판매업신고번호 : 제2010-경기성남-0367호 | ⓒ2011 - 2019 ITL Secure Institute, All Rights Reserved.
본 사이트에 게재되어 있는 회사명, 단체명, 제품명은 각 회사 및 단체의 등록상표입니다.