인프런 커뮤니티 질문&답변

안녕하세요! 질문이 많은 것은 정말 좋은 일입니다 ㅎㅎ 능동적으로 생각하고 학습하고 있다는 증거이니까요. 분명히 실력이 2배로 빠르게 늘고 계실 거라고 생각합니다.

메모리 덤프를 하기 위해서는 조사 대상 PC에서 프로그램을 실행해야 합니다.
그 과정에서 무결성이 훼손되는데요. 말씀하신대로 어쩔 수 없는 부분입니다.
메모리 덤프를 하드웨어 방식으로 하는 기법도 있어 보이는데, 실제로 잘 사용되지는 않는 것으로 보입니다 (출처)

경찰에서는 CIP(현장용 증거분석 프로그램)을 이용해서 휘발성 메모리에 대한 조사를 하는 것으로 알고 있습니다. 정확하게 메모리 덤프를 하는 것은 아니고, 메모리로부터 프로세스 정보, 네트워크 정보들을 검색하여 보여주는 프로그램입니다. 해당 사이트 내에 게시글을 참고하시면, 교육자료 등이 있으니 관심 있으시면 함께 보셔도 좋을 것 같습니다.

추가적으로 전반적인 증거 수집 및 분석 절차에 대해 관심이 있으시면 "디지털 증거 처리 가이드라인" 자료를 추천드립니다. 휘발성 정보, 비휘발성 정보에 대한 증거 수집 순서와 단계, 구체적인 절차 등을 명시하고 있는 좋은 자료입니다.

학습에 도움되셨기를 바랍니다.
감사합니다.