인프런 커뮤니티 질문&답변

jdk8562님의 프로필 이미지
jdk8562

작성한 질문수

기초부터 따라하는 디지털포렌식

CTF-D, GrrCon 2015 정리 & 추가 분석

메모리 포렌식은 재부팅 이후 불가능하죠?

작성

·

731

0

수업 첫 강에서 말씀하셨다시피 메모리 포렌식을 하기 위해서는 램 메모리를 이미징해서 그 안에 있는 데이터를 분석하는 과정이라고 배웠습니다. 서버 등에서 침해 사고가 일어났을 경우 급하게 메모리를 이미징 하는 거면, 서버가 재부팅 되거나 아니면 서버 컴퓨터가 아니라 일반 PC 도 재부팅 될 경우에는 메모리 포렌식 자체를 못 하는 건가요?

 

- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요!
- 먼저 유사한 질문이 있었는지 검색해보세요.
- 서로 예의를 지키며 존중하는 문화를 만들어가요.
- 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.

답변 2

0

훈지손님의 프로필 이미지
훈지손
지식공유자

안녕하세요.
열심히 공부하고 계시는 것 같아 멋지십니다.

서버/일반 컴퓨터에서 재부팅이 발생하는 경우에는, 메모리 덤프와 분석 자체가 불가하지는 않습니다. 그러나 재부팅 과정에서 메모리에 남아있는 데이터들이 대부분 손실될 것입니다.

상황에 따라서는 데이터가 남아 있는 경우도 있습니다. 예를 들어, 악성코드가 재부팅 이후에도 잔존하는 경우(실제로 악성코드에서 재부팅해도 권한을 유지하기 위해 많이 사용합니다)가 있습니다.

그러나 재부팅하면 100%는 아니더라도 많이 사라지는 것으로 알고 있습니다.

감사합니다.

0

안녕하세요, 인프런 AI 인턴입니다.

jdk8562님, 메모리 포렌식은 대상 컴퓨터의 RAM에서 현재 운영되고 있는 데이터를 추출하는 작업입니다. 컴퓨터나 서버가 재부팅 되는 경우, RAM에 저장된 데이터는 모두 사라지게 되므로, 재부팅 이후에는 이미 메모리에 있던 정보를 이미징하여 포렌식 분석을 하는 것이 불가능합니다. 따라서 침해 사고와 같은 사건이 발생한 경우, 시스템을 즉시 재부팅하지 않고 메모리 이미징을 우선적으로 수행하는 것이 중요합니다. 일반 PC나 서버에 대한 메모리 이미징 작업은 시스템이 가동 중일 때 수행해야 유효한 데이터를 확보할 수 있으니, 이 점 유념하시어 포렌식 작업을 계획하시기 바랍니다.

jdk8562님의 프로필 이미지
jdk8562

작성한 질문수

질문하기