[윈도우 포렌식 실전 가이드] 2장 소프트웨어 덤프

소프트웨어 덤프 종류

1. FAU DD

http://www.gmgsystemsinc.com/fau/

-> 윈도우 XP SP2 이후 버전에서는 사용자 모드에서 \\.\Physicalmemory 오브젝트에 접근할 수 없으며, 오직 커널버전에서만 가능

-> 윈도우 XP SP1 이전버전에서만 사용 가능

-> 사실 이 도구는 메모리 덤프를 만들 때보다는 저장장치의 포렌식 이미지를 만들 때 유용

2. DCFLDD

-> 윈도우 XP SP2 이후 버전에서는 사용자 모드에서 \\.\Physicalmemory 오브젝트에 접근할 수 없으며, 오직 커널버전에서만 가능

-> FAU DD와 동일

3. KntDD

- 군대, 정부기관, 보안전문가나 관련 회사에 선별적으로 제공되므로 일반유저들은 사용 불가(유료)

- 윈도우 XP SP2  이후의 모든 윈도우 버전 지원

- 64비트 윈도우는 실험적인 수준에서만 지원

4. MDD

5. windd

- 메모리 덤프를 만들기 전에 물리적 메모리와 페이징 파일, 가상 메모리에 대한 사용정보를 보여주고 사용자에게 메모리 덤프를 만들 것 인지 물어봄

- windd가 보여준 정보가 사용자가 알고 있는 정보와 일치한다면 사용자는 "yes (y)"를 선택하면 되고, windd는 사용자가 지정한 폴더에 메모리 덤프 파일을 생성하고 결과를 보여줌

- 배치 파일로 자동화하고 싶을 경우 명령 마지막에 '/a' 옵션을 추가 -> 옵션을 추가하면 windd가 물어보는 모든 질문에 자동으로  yes 로 응답

-> 이 도구는 netcat 처럼 리스닝 모드( /l 옵션)를 지원하기 때문에 네트워크에 있는 다른 컴퓨터를 서버 모드로 동작시켜 두면 windd가 이 컴퓨터로 메모리 덤프 파일을 전송할 수 있다는 장점이 있음

* 원격지로 덤프 전송하기

>win64dd.exe /l /f RemoteMemoryDump.wdd