메모리 덤프
메모리 덤프란?
메모리에 저장된 휘발성 데이터를 비휘발성 데이터로 저장한 데이터
* 메모리(RAM)
컴퓨터 구조에서 CPU에 전달하기 위한 임시 데이터들이 저장되는 공간
* 휘발성
전원 공급이 중단되면 기억된 내용이 없어지는 성질
메모리 덤프를 수행한 시각에 저장되어 있는 데이터만이 메모리 덤프의 결과가 됨.
ex) 데이터가 메모리에서 1분 뒤에 사라진다고 가정하면, 1분 이내에 메모리 덤프를 수행해야만 데이터 획득 가능
→ 메모리 덤프는 사건이 발생한 이후 최대한 빨리 수행하는 것이 중요
메모리 포렌식(Memory Forensic)이란?
메모리 덤프 파일에서 사용자 데이터를 찾아내어 분석하는 행위
Winpmem로 메모리 덤프
1. 메모장에 아무 문자열이나 입력한 뒤 관리자 권한으로 Windows Terminal 실행
./winpmem_mini_x64_rc2.exe mem.raw
메모리 덤프 파일인 mem.raw 파일이 생성됨.
2. HxD 프로그램을 실행한 뒤 "열기" 버튼으로 생성한 메모리 덤프 열람
* HxD
파일의 내용을 16진수 형식으로 직접 보거나 편집할 수 있는 도구인 헥스 에디터(Hex Editor)
3. Ctrl + F로 메모장에 입력했던 문자열 검색
유니코드로 검색 설정을 변경한 후 검색
실행한 메모장 프로세스가 동작하면서 임의로 입력한 텍스트를 메모리에 저장했고, 그 메모리를 덤프하여 파일로 만들었기 때문에 해당 텍스트 발견 가능
'디지털 포렌식(Digital Forensics)' 카테고리의 다른 글
| 디지털 데이터(Digital Data) (0) | 2025.03.25 |
|---|---|
| 해시 함수(Hash Function) (0) | 2025.03.24 |
| 디스크 이미징(Disk Imaging) (0) | 2025.03.24 |