MemoryDump
RAM: 컴퓨터 구조에서 CPU에 전달하기위 위한 임시 데이터들이 저장되는 공간
휘발성 데이터이기 때문에 포렌식 수사 관점에서는 이를 비휘발성 데이터로 바꿔 분석
Window Memory dump tool: WinPmem
https://github.com/Velocidex/WinPmem/releases/ 에서 버전에 따라 설치
./winpmem_mini_x64_rc2.exe mem.raw
현재 환경은 메모리 크기가 32GB이다
하지만 생성된 파일 크기를 확인해보면 35GB이상으로 확인된다
실제 컴퓨터가 메모리 레이아웃을 구성할때는 RAM공간 뿐만 아닌 PCI, ROM도 포함한다
이러한 자원들을 하나의 가상 메모리 공간으로 만든 것이 Virtual Address Space이다
파일 시그니처(File Signature)
파일의 콘텐츠를 식별하기 위한 데이터
파일의 앞부분(Header) 혹은 뒷부분(Footer)에 위치
파일 시그니처 테이블
| 분류 | 파일 형식 | 헤더 시그니처 | 푸터 시그니처 | |
| 압축 | ZIP | 50 4B 03 04 P K |
||
| 압축 | 7Z | 37 7A BC AF 27 1C 7 Z |
||
| 문서 | 25 59 44 46 % P D F |
25 25 45 4F 46 % % E 0 F |
||
| 문서 | DOCX XLSX PPTX |
50 4B 03 04 P K |
||
| 그림 | PNG | 89 50 4E 47 0D 0A 1A 1A P N G |
49 45 4E 44 AE 42 60 82 I E N D |
|
| 그림 | JPG | FF D8 FF E0 XX XX 4A 46 48 46 J F I F |
FF D9 | |
'공부 > Forensic' 카테고리의 다른 글
| NTFS 파일 시스템 (0) | 2025.01.19 |
|---|---|
| Forensic 기초 지식 (0) | 2025.01.18 |
| Volatility Tool 사용 (0) | 2024.07.10 |