훈훈훈

디지털 포렌식 : : 메모리 수집 본문

정보보안/디지털포렌식

디지털 포렌식 : : 메모리 수집

훈훈훈 2018. 11. 15. 01:59


1. 메모리 수집 목적

 메모리 수집 기법은 디지털 포렌식과 침해사고 대응에 많이 활성화 되어있는 기법이다.

메모리 수집의 장점은 사용자의 행위에 대한 정보를 얻을 수 있다. 사용자가 실행한 프로그램, 

네트워크 사용, 읽은 파일, 로그인 기록 등 행위에 기반한 정보들을 획득할 수 있다.


2. 메모리 수집 방법

- 하드웨어를 이용한 덤프     

  :  이 기능을 지원하는 PC만 사용하기 때문에 최근에는 잘 사용하지 않는다.

- 소프트웨어를 이용한 덤프 

  :  가장 많이 쓰이는 방법이지만 덤프하기 위해 실행한 소프트웨어도 메모리에 저장된다는 단점이 있다.

- 크래시 덤프                     

  :  침해사고 대응에서는 사용하지만 디지털 포렌식에서는 활용도가 낮은 방법이다.

- 절전모드 덤프                  

  :  절전모드시 사용

- 가상화 시스템 덤프  

  :  가상머신으로 서버를 구축한 시스템의 메모리를 덤프할때 사용한다.

- 콜드 부트  

  :  메모리를 얼리는 방법이다. 현실적으로 사용할 일이 없는 방법이다.


3. 메모리 수집 과정

 1) 실습 환경

  Windows 7 64bit

 2) 실습 도구

  Dumpit

  다운로드 링크 : https://qpdownload.com/dumpit/

 3) 실습 과정


[수집과정 - 1]

먼저 다운로드한 Dumpit을 관리자 권한으로 실행시키자. 그러면 위 그림과 같은 화면이 출력될 것이다.

이제 빨간 박스로 체크된 부분을 보자. 그러면 덤프뜬 파일의 저장 위치와 이름을 알 수 있다.

내용을 확인하고 "y"를 누르고 기다리자.


[수집과정 - 2]

"y" 를 누른 후 잠시 덤프 파일 생성이 완료되면 "Success" 메세지가 출력된다. 

이제 해당 경로로 가서 파일을 확인하자.


4. 결론

 지금까지 메모리 수집과정을 살펴보았다. 단순히 메모리에 있는 데이터만 덤프했기 때문에 수집 과정은 매우 단순하다.

이제 수집 과정은 배웠기 때문에 다음 글에서는 메모리 분석에 대한 글을 쓰려고한다.



Comments