메모리 덤프는 다음과 같이 두가지로 볼 수 있다.
1. 특정 프로세스에 해당하는 영역만 덤프하기
1. 특정 프로세스에 해당하는 영역만 덤프하기
: 1. mempass.exe 실행하고 종료말고 작업관리자에서 memepass.exe올라와있나확인
2. pmdump(http://www.ntsecurity.nu/toolbox/pmdump/) 다운
3. pmdump -list 로 pid확인후 pmdum pid outfilename 로 덤프
2. 전체 메모리 영역을 덤프하기
: Nighilant32 로 뜰 수 있다.
'Forensic & 침해사고대응' 카테고리의 다른 글
| RISC VS CISC (0) | 2011.08.24 |
|---|---|
| [펌] 리틀엔디안 & 빅 엔디안 (0) | 2011.08.24 |
| [ 도구 ] 사용되는 도구들 몇가지 (0) | 2011.08.22 |
| [ 도구 ] WinAudit (0) | 2011.08.22 |
| [ 도구 ] COFFEE 1.2 (0) | 2011.08.22 |
