Forensic & 침해사고대응

메모리 덤프하기

dp. 2011. 8. 22. 19:01
메모리 덤프는 다음과 같이 두가지로 볼 수 있다. 


1. 특정 프로세스에 해당하는 영역만 덤프하기 
:     1. mempass.exe 실행하고 종료말고 작업관리자에서 memepass.exe올라와있나확인
2. pmdump(http://www.ntsecurity.nu/toolbox/pmdump/) 다운
3. pmdump -list 로 pid확인후 pmdum pid outfilename 로 덤프
 
2. 전체 메모리 영역을 덤프하기 
: Nighilant32 로 뜰 수 있다. 
저작자표시 비영리