◎ Windows hibernation files
자세한 내용은 [Windows] 메모리 덤프 형식(Memory Dump Format) 글에서 확인해주세요.
[최대절전모드]
> 1단계
최대절전모드의 시스템메모리는 일반적으로 c:\hiberfil.sys 파일에 저장됩니다. 최대절전모드를 사용 중인지 모르는 상태에서 종료해야된다면, 관리자권한으로 cmd를 실행한 뒤 아래 명령어로 최대절전모드를 켜고, 컴퓨터를 종료하면 됩니다.
| > powercfg /h on > shutdown /f /h |
• powercfg /h on : powercfg는 전원관리 명령어, /h는 hibernate(최대절전모드), on은 설정 켜기입니다.
• shutdown /f /h : shutdown은 시스템 종료 명령어, /f는 강제종료, /h는 대기모드입니다.
> 2단계
저장장치를 분리해서 Linux 컴퓨터에서 hiberfil.sys 파일을 USB에 복사합니다.
> 3단계
제작사 홈페이지에서 Comae 툴킷을 다운받아서 Hibr2Bin.exe 이용해 hiberfil.sys 파일을 압축되지 않은 바이너리로 변환합니다.
일반적으로 Windows 10 응용 프로그램의 경우 다음과 같이 실행합니다.
| > Hibr2Bin /PLATFORM X64 /MAJOR 10 /MINOR 0 /INPUT hiberfil.sys /OUTPUT mem.bin |
아래는 옵션 설명입니다.
> 4단계
이미지를 분석합니다.
◎ Expert witness format
EnCase 상용소프트웨어가 필요하기 때문에 생략합니다.
◎ HPAK Format
HBGary Responder 상용소프트웨어가 필요하기 때문에 생략합니다.
'디지털포렌식&사고대응 > Memory Dump' 카테고리의 다른 글
| [Windows] 메모리 덤프#02 (0) | 2023.09.14 |
|---|---|
| [Windows] 메모리 덤프#01 (1) | 2023.09.14 |
| [Windows] 메모리 덤프 형식(Memory Dump Format) (0) | 2023.09.10 |
| [VMware] 메모리 덤프 파일 생성 (0) | 2017.04.05 |
| [Linux] 메모리 덤프(Memory Dump) (0) | 2017.03.24 |