메모리 포렌식이란? :: 메모리 덤프 파일, 확장자 종류

1. 메모리 포렌식이란?

: 컴퓨터 하드웨어 중 주 기억장치(RAM)에 남아있는 데이터 흔적을 분석하는 기법이다.

 

RAM 은 휘발성이 강하지만 프로세스 정보, 네트워크 연결 정보, 악성코드 파일 정보, 시스템 관련 데이터 구조, 사용자 활동 정보 등의 고유의 독특한 정보가 남아있다. 

 

(컴퓨터 시스템은 구조적으로 중앙처리장치(CPU, Central Processing Unit)에 의해 연산이 이루어지는데, 여기서 어떠한 소프트웨어라도 메모리인 RAM에 그 데이터와 코드가 적재되어야만 중앙처리장치에서 연산이 가능하기 때문)

 

따라서 메모리 포렌식의 주 목적은 악성코드와 관련있는 데이터를 추출하고, 어떻게, 어떤 이벤트가 발생했는지 등의 RAM 에 남아있는 악성코드 감염과 관련된 다양한 흔적을 분석하여 침해 사고 대응과 분석 과정에서 이용하는 기법이다.

 

 

 

2. 메모리 덤프 파일이란?

 

: 프로세스의 메모리를 정해진 덤프 포맷에 따라 기록한 파일.

 

특별히 코어 덤프(core dump), 메모리 덤프(memory dump), 또는 시스템 덤프(system dump)는 컴퓨터 프로그램이 특정 시점에 작업 중이던 메모리 상태를 기록한 것으로, 보통 프로그램이 비정상적으로 종료했을 때 만들어진다.

또한, 추가적인 검사를 위해 많은 양의 메모리 데이터를 저장하는 것을 의미한다.

 

 

 

3. 메모리 덤프 파일 확장자 종류

 

.dmp : windows 의 메모리의 덤프 파일

특히, 윈도우 디버거(WinDbg)를 통하여 디버깅을 할 수 있는 파일 포맷이다. 블루스크린과 함께 Crash Dump를 생성한다. 

.raw: 메모리 이미지 그 자체를 파일로 덤프 시킨 포맷

.vmem: Vmware 에서 제공하는 포맷

 

이 외에도 .img 등등 이 있음.

 

 

 

Ref.

[1] www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=22109

[2] forensic.korea.ac.kr/DFWIKI/index.php/%EB%A9%94%EB%AA%A8%EB%A6%AC_%ED%9A%8D%EB%93%9D_%EB%8F%84%EA%B5%AC

.