윈도우 메모리 덤프 방법 총 정리 (+ 메모리 덤프 도구 비교 분석)

윈도우 메모리 덤프 방법 총 정리 (+메모리 덤프 도구 비교 분석)

 

 

1. Windows memory Dump 도구 비교 분석

구분	FTK Imager	Dumpit	Winpmem
OS	Windows xp 이상	Windows xp 이상	Windows xp 이상
bit	32bit, 64bit	32bit, 64bit	32bit, 64bit
포맷	raw	raw	aff4, raw,
환경	GUI	CLI	CLI
설치 유무	설치형	비설치형	비설치형
분석도구 추천	Volatility	Volatility	Rekall
상용화	무료	무료	무료
설치	bit.ly/397BKH3	bit.ly/2LT5VJf	bit.ly/3bY0zXT

 

 

2. 기타 Memory Dump 도구

•MDD: https://sourceforge.net/projects/mdd/

•Encase: https://www.guidancesoftware.com/encase-forensic  

 

 

 

---

 

※ 윈도우 메모리 덤프 사용법을 정리해본다.

 - FTK Imager 메모리 덤프

 - Dumpit 메모리 덤프 

 - Winpmem 메모리 덤프

 

3. FTK Imager 메모리 덤프 사용법

•FTK Imager 실행 후 File -> Capture Memory -> 경로 설정 및 메모리 덤프 시작

 

•메모리 덤프 완료 후 해당 경로에서 파일 확인

 

4. Dumpit

• Dumpit의 경우 physical memory에 대해 raw 포맷으로 메모리 덤프

• Dumpit.exe 파일 실행 -> y 입력 -> 메모리 덤프 진행(같은 디렉토리에 덤프 파일 생성)

• XP 또는 2003 이상의 Windows 버전은 Winpmem 도구를 사용하여 메모리 덤프 진행 권장

 

 

 

5. Winpmem

• Winpmem의 경우 구글에서 진행하고 있는 메모리 분석도구 개발과 관련된 Rekall 프로젝트에 포함된 전용 메모리 덤프 도구이다.

• Windows XP와 2003의 버전에는 정상적으로 실행이 불가능 하므로 해당 버전 이후의 Windows에서 사용 권장

• PTE remapping 기술을 통하여 물리메모리와 가상메모리 사이의 데이터를 매핑하여 메모리 덤프를 진행 하므로 기존의 도구보다 더 많은 영역에 대하여 확보 가능

• Aff4(Advanced Forensics File)의 포렌식 전문 디지털 증거 및 데이터 저장에 사용되는 형식을 지원함으로써 포렌식 도구와 호환성이 좋다.

• Default 옵션을 사용하여 메모리 덤프 진행 권장

 

5.1. Winpmem format 옵션

 •Map: AFF4(Advanced Forensic File Format) 포맷으로 덤프하여 아웃풋의 압축을 지원 (default 옵션)

 •Elf: 리눅스의 바이너리인 ELF 파일 포맷으로 메모리를 캡쳐

 •Raw: 순수 메모리를 덤프하며 실제 사용되는 물리적인 메모리 용량만큼 덤프 파일 생성

 

5.2. Winpmem mode 옵션

• PTERemapping: PTE를 매핑하여 가상 메모리와 물리 메모리 주소를 매핑하여 덤프 (default 옵션)

• MmMaploSpace: PC 메인보드에 존재하는 DMA(Direct Memory Access) 하드웨어를 통하여 매핑

• PhysicalMemory: \Device\PhysicalMemory 은 실제 메모리가 직접 지원하는 섹션을 이용하여 매핑

 

5.3. Winpmem Memory Dump 방법

• 명령어: Winpmem.exe --format map --mode PTERemapping -o “파일명”.aff4

• Default Options: Winpmem.exe –o “파일명”.aff4 (위 명령어랑 결과는 동일)

 

 

 

리눅스 메모리 덤프 방법 총 정리 (+ 메모리 덤프 도구 비교 분석)