MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
[ Magnet Axiom Process ]
(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!
참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다!
메모리 덤프에는 덤프가 발생했을 때 현재 메모리에 저장된 모든 데이터 레코드가 들어 있습니다.
이 파일에는 시스템 충돌 또는 시스템 종료 시 손실될 수 있는 정보가 포함될 수 있습니다.
메모리 덤프에서 사용할 수 있는 정보는 실행 중인 프로세스와 사용자가 열어본 파일에 대한 정보가 포함되어 있으므로 사건 응답 조사에 특히 유용할 수 있습니다.
Magnet RAM Capture 또는 타사 제품으로 대상 컴퓨터에서 메모리 덤프를 얻을 수 있습니다.
Magnet AXIOM 에서 메모리 덤프를 기본 파일 형식 (.raw 또는 .bin)으로 로드하고 드라이브에서와 마찬가지로 아티팩트를 스캔할 수 있습니다.
예를 들어 휘발성을 사용하는 맬웨어를 검색하고 프로세스 및 IP 주소의 이름을 복구할 수 있습니다.
따라서 맬웨어 조사가 한층 깊게 이루어질 수 있습니다.
참고: 휘발성을 효과적으로 사용하고 해석하려면 추가 기술 교육이 필요할 수 있습니다.
[ 알 수 없는 프로필로 메모리 덤프 로드 ]
각 메모리 덤프에는 운영 체제에 따라 프로파일이 있습니다.
메모리 덤프의 프로파일을 모를 경우 Magnet AXIOM Process는 KDBG 스캔을 수행하여 권장 프로파일을 찾습니다.
경고: KDbg 스캔을 수행하는 데는 상당한 시간이 걸릴 수 있습니다.
1. 증거 소스에서 컴퓨터 > 메모리를 클릭
2. 메모리 덤프로드를 클릭하고 파일을 찾습니다.
3. AXIOM 가 권장 이미지 프로파일 목록을 제공하기를 원합니다를 선택
Magnet AXIOM Process는 KDBG 스캔을 수행하여 프로파일을 식별합니다.
사례 폴더에 있는 사례 요약 텍스트 파일에서 이 스캔의 결과를 볼 수 있습니다.
Magnet AXIOM Process가 프로파일을 식별하면 해당 권장 사항이 이미지 프로파일 드롭 다운 목록에 나타납니다.
두 개 이상의 권장 사항이 나타나는 경우, 고급 이미지 프로파일 선택을 클릭하여 권장 프로파일에 대한 세부 사항을 보고 정보를 선택할 수 있습니다.
일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.
다른 추가적인 문의나 오탈자는 댓글에 남겨주시면 감사하겠습니다. :)
다음 포스팅은 드라이브 암호 해독에 대해서 다뤄보도록 하겠습니다.