이 책은 메모리 포렌식 분석을 쉽게 이해할 수 있도록 SANS에서 주최한 첼린지(Challenge) 대회 문제를 풀이하는 과정을 다룬다. “APT Malware and Memory Challenge” 문제 풀이를 통해 침해 사고 과정에서 이슈되는 APT 공격을 이해할 수 있다. 메모리 포렌식 분석에서 제일 많이 사용되고 있는 볼라틸리티 프레임워크(Volatility Framework)를 활용할 것이며, 이와 관련된 도구들도 살펴본다.

1. 개요
2. 사전 준비
2.1 문제 분석
2.1.1 악성 프로세스 탐지
2.1.2 악성 파일 탐지
2.1.3 악성코드의 지속성 유지 방법
2.1.4 은닉을 위해 둔갑한 파일의 이름
2.1.5 악성코드와 통신하는 네트워크 ISP 이름
2.2 사용할 도구
2.2.1 볼라틸리티(Volatility)
2.2.2 VolUtility
2.2.3 Mandiant Redline
3. 포렌식 분석
3.1 호스트 기반 정보
3.1.1 운영체제 탐지
3.1.2 사용자 정보
3.1.3 시스템 날짜와 시간
3.1.4 의심 프로세스
3.1.5 의심 DLL
3.1.6 덤프를 통한 의심 파일 추출
3.2 네트워크 기반 정보
3.2.1 네트워크 연결 상태
3.2.2 열려있는 소켓(포트)
3.2.3 통신을 수행하는 프로세스
3.2.4 ISP 제공자
3.3 타임라인 분석
4. 결론