Windows 10 메모리 덤프하기 (FTK Imager, DumpIt, Winpmem) - 블루스크린 해결

Hunjison·2022년 3월 30일
0

Windows 10 에서 메모리덤프가 제대로 되지 않는다는 질문이 달렸다.
인프런 강의에서는 Windows 11 ARM을 사용하기 때문에 당연히 되지 않는다고 생각했지만, Windows 10 에서도 되지 않는 경우가 있음을 확인하였다. 심지어는 블루스크린이 떠서 나를 힘들게 했다.

빠른 결론

빠른 결론을 내리자면, Windows 10 에서 가상화 기능이 켜져있는 경우에는 일부 도구가 동작하지 않았다.
가상화 기능을 끄는 법은 여기 링크를 참고.

실험 결과

  • Windows 10 21H2 (VM, 가상화모드 OFF): FTK Imager O, DumpIt O, Winpmem O
  • Windows 10 21H2 (Host, 가상화모드 ON): FTK Imager X, DumpIt X, Winpmem O
  • Windows 11 ARM (Paralles, on M1 MAC): FTK Imager X, DumpIt X, Winpmem X

생각해볼 점들

  • 가상화모드가 켜져 있는 PC들에서 성공적으로 메모리 덤프를 수행하기 위해서는 FTK Imager, DumpIt 이용 불가능하고, Winpmem을 사용해야 한다. 그게 아니면 현장에서 켜져있는 PC 위에서 증거획득을 진행해야 하는데, 프로세스 리스트나 네트워크 연결 정보와 같은 단편적 정보만 가져올 수 있을 것으로 생각된다. 어떻게 하면 필요한 증거들을 잘 가져올 수 있을지?
  • Winpmem과 Volatility의 호환성은 괜찮은지?
profile
비전공자 출신 화이트햇 해커

0개의 댓글