강의

N
챌린지

멘토링

N
클립

로드맵

인프런 커뮤니티 질문&답변

kanemochi님의 프로필 이미지
kanemochi

작성한 질문수

기초부터 따라하는 디지털포렌식

디스크 마운트, 메모리 덤프

Windows10 이후 메모리 덤프에 대해서

작성

·

667

1

윈도우10이후에서 FTK Imager나 Dumplt 으로 메모리 덤프 및 Volatility로 분석이 안되서 인터넷에 찾아보니

winpeme으로 덤프하여 rekall로 해야 한다고 하네요

이부분에 대해서도 강의 내용에 포함되어 있는지 알고 싶습니다.

 

메모리덤프Forensic

퀴즈

The most important reason is data volatility – memory contains volatile data lost when power is off, while disk data is non-volatile.

This is because the capacities of the two storage devices are different.

Because whether data persists when the power is off differs.

It is because the file system type is different.

As the physical form differs.

답변 2

1

훈지손님의 프로필 이미지
훈지손
지식공유자

말씀해주신 부분은 제가 미처 테스트하지 못하고 소홀하게 강의를 만든 것 같습니다.
FTK Imager, DumpIt 역시 현재까지 동작하는 도구입니다만, 가상화모드 때문에 에러가 발생한 것 같습니다.

제가 다시 테스트해본 결과 아래와 같았습니다.
Windows 11 ARM (Mac에서 parallels 이용하여 실행) : FTK Imager, Dumpit, Winpmem 전부 실패
Windows 10 21H2 (가상화모드 활성화) : FTK Imager, Dumpit 실패, Winpmem 성공
Windows 10 21H2 (가상화모드 비활성) : FTK Imager, Dumpit 성공

가상화 관련 설정은 링크를 참조하시면 좋겠습니다.

알려주셔서 정말 감사드리고, 해당 부분은 강의 하단에 안내 남겨두겠습니다.
감사합니다.

0

훈지손님의 프로필 이미지
훈지손
지식공유자

답변이 일부 수정되었습니다

kanemochi님의 프로필 이미지
kanemochi

작성한 질문수

전체 Q&A
질문하기