ssoL2 TISTORY

메모리 덤프뜨는 방법 FTK imager -> 무료라서 많이 이용됨 Encase 등 FTK에서 [Capture Memory]를 통해서 현재 메모리를 덤프 뜰 수 있음 이제 덤프뜬 메모리를 분석해야함 -> Volatility 도구 이용 크게 나눌 수 있음 프로세스, 네트워크, cmd, 웹기록(ie), mft파서, 프로세스 메모리 덤프, 파일 보구, 레지스트리 등 1. imageinfo 운영체제의 profile을 알아야 플러그인을 통한 메모리 파일을 분석할 수 있음 메모리가 크면 클수록 오래걸림 보통 서버를 용량이 매우 커서 분석하기도 오래걸려서 메모리 덤프를 하지 않음 -> 개인 pc라는 가정하에 보통 윈도우 서비스팩 버전이 높은 것을 선택하는 것이 좋다. * 서비스팩(Service pack) : 소프트웨..