◎ Windows hibernation files 자세한 내용은 [Windows] 메모리 덤프 형식(Memory Dump Format) 글에서 확인해주세요. [최대절전모드] > 1단계 최대절전모드의 시스템메모리는 일반적으로 c:\hiberfil.sys 파일에 저장됩니다. 최대절전모드를 사용 중인지 모르는 상태에서 종료해야된다면, 관리자권한으로 cmd를 실행한 뒤 아래 명령어로 최대절전모드를 켜고, 컴퓨터를 종료하면 됩니다. > powercfg /h on > shutdown /f /h • powercfg /h on : powercfg는 전원관리 명령어, /h는 hibernate(최대절전모드), on은 설정 켜기입니다. • shutdown /f /h : shutdown은 시스템 종료 명령어, /f는 강제종료..
◎ Windows crach dump 자세한 내용은 [Windows] 메모리 덤프 형식(Memory Dump Format) 글에서 확인해주세요. • Complete 메모리 덤프 • Kernel 메모리 덤프 • Small 메모리 덤프 [크래시 덤프 생성 설정] 설정 - 시스템 - 정보로 이동합니다. 고급 시스템 설정을 선택한 다음 고급 탭을 선택합니다. 시작 및 복구 영역에서 설정을 선택합니다. 디버깅 정보 쓰기에서 원하는 덤프 형식을 지정합니다. 덤프파일 위치는 변경가능합니다. [전체 메모리 덤프] 저장위치 : %SystemRoot%\Memory.dmp [커널 메모리 덤프] 저장위치 : %SystemRoot%\Memory.dmp [작은 메모리 덤프] 저장위치 : %SystemRoot%\Minidump 폴..
◎ RAW memory dump 자세한 내용은 [Windows] 메모리 덤프 형식(Memory Dump Format) 글에서 확인해주세요. • Windd • DumpIt • Magnet Ram Capture • Winpmem • Belkasoft Live RAM Capturer • FTK Imager [Windd] Unix 용 dd의 윈도우 버전이라고 보면 되겠습니다. win32dd(win64dd)는 MoonSols 사의 무료 메모리 덤프 툴입니다. 윈도우 XP, Vista 그리고 Win7 x86, x86_64를 지원합니다. 윈도우 10 22H2는 지원하지 않습니다(BSOD 발생). [DumpIt] win32dd와 win64dd의 기능을 하나로 통합한 MoonSols 사의 무료 메모리 덤프 툴입니다. M..
[Memory Dump 란?] Memory Dump 는 System의 물리 Memory 를 File 형태로 저장하는 방법으로, 해당 File 의 구조는 실제 물리 Memory 구조와 동일합니다. 침해사고 분석 시 침해 시스템에 실시간 분석을 수행하면 해당 명령어로 인해 Memory 의 상태 및 Data 가 변경됩니다. 이는 Memory 로부터 얻을 수 있는 중요한 정보를 놓칠 수 있는 가능성이 존재하므로 분석에 불리하게 작용할 수 있습니다. 이 같은 실시간 분석의 단점으로 인해 침해사고 시점의 휘발성 Data 를 File 로 간직하여 Memory 에 변화를 주지 않으면서 분석을 하기위해 Memory Dump 를 수행합니다. ◎ Windows 에서 Memory Dump Windows 운영체제에서 메모리 덤..
VMware 주요 확장자에 대한 설명 .log – 가상 머신(Virtual Machine)에 대한 일반적인 활동 기록 파일 .vmdk – 게스트 운영체제(Guest OS)에 대한 실질적인 가상 하드 드라이브(Virtual Hard Drive) .vmem – 게스트 운영체제에 대한 실질적인 가상 페이징 파일(Virtual Paging File) .vmsn – VMware에서 생성하는 스냅샷(Snapshot) 파일로, 게스트 운영체제에 대한 상태 저장 .vmsd – VMware에서 생성한 스냅샷 파일에 대한 메타데이터(Metadata) 기록 파일 .nvram – 게스트 운영체제에 대한 바이오스(BIOS) 정보 기록 파일 .vmx – 게스트 운영체제에 대한 설정 기록 파일 .vmss – 게스트 운영체제를 일시..
[Windows] 메모리 덤프 형식(Memory Dump Format) [Windows] 메모리 덤프#01 [Windows] 메모리 덤프#02 [Windows] 메모리 덤프#03 [Memory Dump 란?] Memory Dump 는 System의 물리 Memory 를 File 형태로 저장하는 방법으로, 해당 File 의 구조는 실제 물리 Memory 구조와 동일합니다. 침해사고 분석 시 침해 시스템에 실시간 분석을 수행하면 해당 명령어로 인해 Memory 의 상태 및 Data 가 변경됩니다. 이는 Memory 로부터 얻을 수 있는 중요한 정보를 놓칠 수 있는 가능성이 존재하므로 분석에 불리하게 작용할 수 있습니다. 이 같은 실시간 분석의 단점으로 인해 침해사고 시점의 휘발성 Data 를 File 로 간..