Belka 소프트라는 업체에서 만든 라이브 메모리 캡쳐 도구가 공개 되었습니다.
해당 도구는 무료 입니다.
http://forensic.belkasoft.com/en/ram/download.asp
해당 사이트에 E-mail 을 등록하고 나면 다운 받을 수 있으며, 해당 프로그램은 32비트와 64비트 두개 버전으로 나뉘어 집니다.
| 다운로드 |
RamCapturer.zip압축을 해제하면 실행파일과 드라이버 파일(.sys) 로 된 파일을 볼수 있습니다. 해당 실행 파일을 실행하면 다음과 같은 화면을 볼 수 있습니다.
기존에 공개된 다른 라이브 메모리 캡쳐 도구와의 차별성은 보여지지 않습니다..ㅡ,.ㅡ;
그래도 생각보다는 안정적으로 캡쳐가 진행되고 , 수행됩니다.
일부 라이브 캡쳐 도구들이 너무 많은 기능을 제공하기 위해서 무겁거나 , 불안정스러운 모습을 보이기도 하는데 반해 간단하면서 메모리 캡쳐 기능에 충실하다고 할 수 있습니다.
해당 제품은 드라이버 파일과 함께 USB 에 넣어서 포터블모드로 사용이 가능합니다.
또한, 현재 나온 최신 OS 를 비롯하여 대부분의 윈도우를 지원하므로 OS 버전에 영향을 받아서 메모리 덤프를 수행하기 어려운 도구에 비해서 호환성도 좋다고 할 수 있습니다.
이렇게만 정리하면 이 제품이 너무 빈약해 보이겠죠??
반전!!
이 제품은 많은 사용자 레벨( User LEVEL ) 도구와 달리 커널 레벨 (Kernel LEVEL )로 동작하며 32/64비트 커널 드라이버를 내장하고 있습니다.
크기 또한 작기 때문에 메모리 덤프시에 발생되는 변화를 최소화 하여 덤핑을 수행할 수 있습니다.
또한, 안티 메모리 덤핑 아니 안티 디버깅이 활성화 된 경우에도 커널모드에서 동작하여 시스템 보호 모드를 우회하여 안정적인 덤핑을 수행할 수 있습니다.
특히, nProtect GameGuard 와 같은 도구에 의해서 보호되는 프로세스가 사용자 레벨에서 동작하는데, AccessData의 FTK Imager 나 PMdump 같은 도구는 정상적으로 메모리 덤프를 수행하지 못한다는 점입니다.
해당 사이트에서 주장하는 바대로라면 nProtect Guard 와 같은 보호 모드 프로세스가 구동중인 환경에서 메모리를 캡쳐 할 때
AccessData FTK Imager 3.0.0.144 --> 실제 메모리 데이터 대신 0 반환
PMDump 1.2 --> 임의의 데이터 반환
Belkasoft Live RAM Capturer 1.0 --> 정상적인 메모리 셋 수집
이라는 결과가 도출 되었다고 합니다.
따라서, 이러한점을 고려할 때 한번 정도는 관심을 가지고 지켜봐야 하는 라이브 메모리 캡쳐 도구 인 것 같습니다...^_^
제작사의 말대로라면 말이죠...^^; nProtect Guard 설치 후 한번 각 도구들로 덤핑을 수행해 봐야 할 것 같긴 합니다...@@
'security > 포렌식' 카테고리의 다른 글
| timestomp(타임스톰프)-GUI 입니다. (0) | 2015.08.23 |
|---|---|
| 안티포렌식 slacker 를 이용한 슬랙 공간 활용 (0) | 2015.08.23 |
| 페이스북 패스워드 암호 찾기 ( 디크립터 ) (1) | 2011.08.12 |
| 네트워크 포렌식 도구 NetWitness Investigator 9.x (0) | 2011.08.11 |
| Process Hacker 2.19 릴리즈 (0) | 2011.08.01 |
