vmware 를 활용하여 메모리 덤프파일 만드는 방법

VMWare가 가지고 있는 위와 같은 주요 확장자 파일들 중 VMWare 소프트웨어에서 게스트 운영체제 상태로 가동 중인 시스템의 메모리 분석 대상은 .VMEM 확장자를 가진 파일이다.

게스트 운영체제에서 .VMEM 확장자 파일을 추출하기 위해서는 실행 중인 게스트 운영체제를 일시 중지 시켜 현재 메모리 상태를 저장해야 한다.

 

그러면 VMWare 에서는 별다른 작업 없더라도, 가상머신을 일시정지(suspend)하게되면 자동적으로 해당 머신이 위치한 폴더에 vmem파일이 생성된다.

 

이 파일을 바로 volatility 에서 열어서 분석할 수 있다.

 

지금부터 VMWare 로 Ubuntu 18.01 64bit 를 설치하고, 사용한 다음에 메모리 덤프 파일을 만드는 과정을 설명하겠다.

(매우 간단하다)

 

VMware 로 Ubuntu 설치 방법은 다음의 두 포스팅을 참고하자.

2020/07/09 - [SECURITY/REVERSING] - REVERSING 시작하기 - VMware & Ubuntu Linux 32 bit and 64 bit 설치하기

2020/09/03 - [SECURITY/REVERSING] - 가상 머신 - virtualBOX 설치 및 설정

 

 

1) 가상 머신을 마음껏 사용한 뒤, suspend (중지) 

(상단 아이콘 클릭 혹은 상단메뉴 VM -> Power -> suspend 혹은 Ctrl + Z)

 

 

2) 가상 머신 폴더에 접근, .vmem 파일 확인

(처음에 가상 머신을 만들 때 설정한 경로로 들어가면 된다. 디폴트 설정은 user/Documents/Virtual Machines/ 이다.)

 

이 vmem 파일이 메모리 덤프 파일이다. 

 

이게 끝이다.

 

이렇게 VMware 을 이용하면 쉽게 메모리 덤프 파일을 얻을 수 있다.

 

 

참고)

만일 virtualBOX 에서 메모리 덤프 파일을 생성하고 싶다면, 

cpuu.postype.com/post/727459

이 포스팅을 참조하면 될 것이다.

 

 

Ref. 

[1] www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=22109

.