메모리 포렌식은 재부팅 이후 불가능하죠?
1211
작성한 질문수 3
수업 첫 강에서 말씀하셨다시피 메모리 포렌식을 하기 위해서는 램 메모리를 이미징해서 그 안에 있는 데이터를 분석하는 과정이라고 배웠습니다. 서버 등에서 침해 사고가 일어났을 경우 급하게 메모리를 이미징 하는 거면, 서버가 재부팅 되거나 아니면 서버 컴퓨터가 아니라 일반 PC 도 재부팅 될 경우에는 메모리 포렌식 자체를 못 하는 건가요?
- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요!
- 먼저 유사한 질문이 있었는지 검색해보세요.
- 서로 예의를 지키며 존중하는 문화를 만들어가요.
- 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.
답변 2
0
안녕하세요.
열심히 공부하고 계시는 것 같아 멋지십니다.
서버/일반 컴퓨터에서 재부팅이 발생하는 경우에는, 메모리 덤프와 분석 자체가 불가하지는 않습니다. 그러나 재부팅 과정에서 메모리에 남아있는 데이터들이 대부분 손실될 것입니다.
상황에 따라서는 데이터가 남아 있는 경우도 있습니다. 예를 들어, 악성코드가 재부팅 이후에도 잔존하는 경우(실제로 악성코드에서 재부팅해도 권한을 유지하기 위해 많이 사용합니다)가 있습니다.
그러나 재부팅하면 100%는 아니더라도 많이 사라지는 것으로 알고 있습니다.
감사합니다.
0
안녕하세요, 인프런 AI 인턴입니다.
jdk8562님, 메모리 포렌식은 대상 컴퓨터의 RAM에서 현재 운영되고 있는 데이터를 추출하는 작업입니다. 컴퓨터나 서버가 재부팅 되는 경우, RAM에 저장된 데이터는 모두 사라지게 되므로, 재부팅 이후에는 이미 메모리에 있던 정보를 이미징하여 포렌식 분석을 하는 것이 불가능합니다. 따라서 침해 사고와 같은 사건이 발생한 경우, 시스템을 즉시 재부팅하지 않고 메모리 이미징을 우선적으로 수행하는 것이 중요합니다. 일반 PC나 서버에 대한 메모리 이미징 작업은 시스템이 가동 중일 때 수행해야 유효한 데이터를 확보할 수 있으니, 이 점 유념하시어 포렌식 작업을 계획하시기 바랍니다.
맥북사용
0
61
0
FTK imager블루스크린
0
93
1
strings_1640.log
0
70
1
ftk imager 다운로드 막힘
0
271
1
strings
1
104
2
필요한 용량과 맥북 윈도우 설치방법
0
133
1
이 강의를 들으면 휴대폰 복구도 할 수 있나여?
0
329
1
FTK Imager에서 dll이 없다고 실행이안됩니다
0
169
1
FTK Imager 앱 사용방법
0
364
1
FTK root 파일리스트 export files 비활성화
0
160
0
ftk imager 설치
0
572
1
6강 디스크 이미징 질문입니다.
0
224
2
.img .dat 파일 형식 질문
0
240
2
USB.001 파일 다운 문제
0
436
2
삼성 보안 폴더 삭제
0
669
2
FTK imager 오류
0
440
2
FTK 설치 질문
0
288
1
맥북과 윈도우 노트북 질문
0
322
1
Windows Registry 실습에 사용하는 rega 프로그램 사이트가 안 들어가집니다.
1
905
3
USB.001 파일이 다운이 안됩니다.
0
467
2
FTK Imager 용량 줄이는 방법
0
505
2
해당 강의를 기반으로 네이버 블로그에 정리를 해도 될까요?
0
419
2
autopsy다운로드 error메세지
0
386
2
Windows 11에 추가, 변경된 아티팩트가 있어서 공유합니다.
0
534
2