MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝

[ Magnet Axiom Process ]

(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!
참고 ) 본  Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다!

#1 - Logo Photo

---

메모리 덤프에는 덤프가 발생했을 때 현재 메모리에 저장된 모든 데이터 레코드가 들어 있습니다.

이 파일에는 시스템 충돌 또는 시스템 종료 시 손실될 수 있는 정보가 포함될 수 있습니다.

메모리 덤프에서 사용할 수 있는 정보는 실행 중인 프로세스와 사용자가 열어본 파일에 대한 정보가 포함되어 있으므로 사건 응답 조사에 특히 유용할 수 있습니다.

Magnet RAM Capture 또는 타사 제품으로 대상 컴퓨터에서 메모리 덤프를 얻을 수 있습니다.

---

Magnet AXIOM 에서 메모리 덤프를 기본 파일 형식 (.raw 또는 .bin)으로 로드하고 드라이브에서와 마찬가지로 아티팩트를 스캔할 수 있습니다.

예를 들어 휘발성을 사용하는 맬웨어를 검색하고 프로세스 및 IP 주소의 이름을 복구할 수 있습니다.

따라서 맬웨어 조사가 한층 깊게 이루어질 수 있습니다.

참고: 휘발성을 효과적으로 사용하고 해석하려면 추가 기술 교육이 필요할 수 있습니다.

---

[ 알 수 없는 프로필로 메모리 덤프 로드 ]

각 메모리 덤프에는 운영 체제에 따라 프로파일이 있습니다.

메모리 덤프의 프로파일을 모를 경우 Magnet AXIOM Process는 KDBG 스캔을 수행하여 권장 프로파일을 찾습니다.

경고: KDbg 스캔을 수행하는 데는 상당한 시간이 걸릴 수 있습니다.

---

1. 증거 소스에서 컴퓨터 > 메모리를 클릭

#2 - 증거 소스 선택 - 컴퓨터

#3 - Choose OS

#4 - 메모리

2. 메모리 덤프로드를 클릭하고 파일을 찾습니다.

#5 - 메모리 덤프 파일

3. AXIOM 가 권장 이미지 프로파일 목록을 제공하기를 원합니다를 선택

#6 - 프로파일 검색

 

Magnet AXIOM Process는 KDBG 스캔을 수행하여 프로파일을 식별합니다.

사례 폴더에 있는 사례 요약 텍스트 파일에서 이 스캔의 결과를 볼 수 있습니다.

Magnet AXIOM Process가 프로파일을 식별하면 해당 권장 사항이 이미지 프로파일 드롭 다운 목록에 나타납니다.

두 개 이상의 권장 사항이 나타나는 경우, 고급 이미지 프로파일 선택을 클릭하여 권장 프로파일에 대한 세부 사항을 보고 정보를 선택할 수 있습니다.

#7 - 프로파일 검색 완료

---

일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.

다른 추가적인 문의나 오탈자는 댓글에 남겨주시면 감사하겠습니다. :)

다음 포스팅은 드라이브 암호 해독에 대해서 다뤄보도록 하겠습니다.