메모리 분석 전 알아야 할 사항들

메모리 덤프 파일이란?

메모리 내영이 가장 순수한 메모리 덤프파일을 시스템으로 부터 얻는 것을 말한다. 이를 얻기 위한 방법이 있다

1 - 하드웨어를 이용

하드웨어를 이용하면 메모리영역을 사용하지 않아 좀 더 정확한 메모리 덤프를 할수 있다. 뿐만 아니라 OS에 상관없이 사용 가능하다.

- PCI장치

- FireWire

2 - 소프트웨어 도구를 이용한다.

즉석에서 메모리 덤프 파일을 만들 수 있다.

- DD - UNIX 도구

- KntDD

- MDD - open source

- WIN32(64)DD - 윈도우

- Fastdd

3 - OS 크래시 덤프

문제를 찾기위해 생성되는 덤프파일

종류

- 작은 메모리 덤프

- 커널 메모리 덤프

- 전체 메모리 덤프

4 - 하이버네이션 파일이용

가상 메모리

물리적인 실체를 가지고 있지 않은 메모리를 말하며 논리적인 형태가 없는 메모리

가상주소 = 페이지 디렉토리 인덱스(10바이트) + 페이지 테이블 인덱스(10바이트) + 바이트 주소 인덱스(12바이트) = 32바이트

메모리 분석에서 제일 중요한 것은 프로세스를 찾는 것이다. 

그러나 요즘 루트킷을 이용하여 숨겨져 있는 프로세스를 찾는 것이 중요하다.