소개

특히 Windows의 경우, 메모리 덤프를 취득해 조사하는 것으로, 디스크에 없는 정보나 디스크로부터는 발견 곤란한 정보를 얻을 수 있을 가능성이 있습니다. 따라서 Windows 법의학 조사에서는 가능한 한 메모리 덤프를 얻는 것이 좋습니다.

메모리 덤프 획득 도구

Dumpit이나 FTK Imager를 사용하는 경우가 많은 것 같습니다. Dumpit은 실행만으로 얻을 수 있으므로 여기에서는 FTK Imager Lite로 취득하는 순서를 소개합니다. 덧붙여서 FTK Imager Lite는 디스크의 보전도 가능합니다. 이 기사을 참조하십시오.

FTK Imager Lite는 다음에서 다운로드할 수 있습니다. 필요한 사항을 입력하면 이메일로 다운로드하기 위해 링크가 전송됩니다. 다운로드하고 Zip을 압축 해제한 것을 USB 메모리나 외장 HDD에 저장합니다.
h tps : // 어쩔 수 있었다. 이 m / p 로즈 ct-w w ぉ 아 d / ftk - 흠뻑 r

메모리 덤프 획득

FTK Imager Lite 시작
준비가 되었으므로 메모리 덤프를 얻으십시오. 메모리 덤프를 얻고자 하는 머신에 USB 메모리나 외장 HDD를 삽입하고, FTK Imager Lite를 실행합니다. 만약 기동시에 에러가 나오는 경우는 아래의 순서를 실시해 주세요. 무사히 기동하면 다음과 같은 화면이 됩니다.

FTK Imager Lite를 실행할 때 오류가 발생하는 경우

FTK Imager Lite를 실행할 때 환경에 따라 "이 앱의 실행이 관리자에 의해 차단되었습니다."라는 오류가 발생하여 시작하지 못할 수 있습니다. 이 경우에는 다음과 같이 시작하십시오.

1-1. 명령 프롬프트를 관리자 권한으로 시작합니다.


1-2. 다음과 같이 USB 메모리 또는 외장 HDD 드라이브로 이동하여 FTT Imager Lite를 시작합니다.


1-3. 이제 FTK Imager Lite가 시작됩니다.


2. 화면 상단의 녹색 메모리 아이콘을 클릭합니다.
커서를 맞추면 Capture Memory라고 표시되는 아이콘입니다.



아이콘을 클릭하면 다음 화면이 나옵니다.


3. Browse를 클릭하고 메모리 덤프를 저장할 위치를 선택합니다. 반드시 USB 메모리나 외장 HDD를 선택하십시오.


4. Capture Memory를 누르십시오. 메모리의 크기에 따라 다르지만 몇 분 정도면 완료된다고 생각합니다.


이하의 화면이 되면 완료입니다.


만약을 위해 USB 메모리나 외장 HDD내에 메모리 덤프가 작성되고 있는지 확인합니다. 메모리 크기와 같은 크기의 "memdump.mem"이 만들어져야 합니다.

요약

메모리 덤프의 취득 순서에 대해 설명했습니다. 도움이되면 다행입니다.