그런 다음 사용자는 메모리 스냅샷 파일을 포함하는 USB 키를 조사자에게 제공할 수 있습니다. 관리자는 변동성 프레임워크, Rekall 또는 Redline과 같은 사용 가능한 메모리 포렌식 도구를 사용하여 메모리 파일의 내용을 검사하여 악의적인 아티팩트를 검사할 수 있습니다. 대안, MoonSols 윈도우 메모리 도구 키트 메모리 덤프를 가지고 마이크로 소프트 윈도우 디버거에 의해 분석 될 수있는 형태로 변환 할 수 있습니다, 이는 (예를 들어) 당신이 당신의 귀찮은 프로그램이 처음에 잠겨 이유를 파악하는 데 도움이 될 수 있습니다. 문솔스 사이트에서 더 읽어보십시오. 그리고 두 번째로 가장 인기있는 도구는 Hibr2Bin으로 사용자가 Windows 최대 절전 모드 파일을 압축 해제 할 수 있게해줍니다. 즐기고, 피드백을 제공하고 버그를보고하는 것을 망설이지 말라! DumpIt는 RAM의 내용을 저장하는 쉬운 방법을 제공합니다. 이것은 아마도 자주 사용해야 하는 것이 아닙니다. 하지만 당신이 할 때 그것은 매우 유용 할 수 있습니다., 그리고 프로그램또한 작고 휴대용 으로 다음 그것은 잘 가치가 비상 사태에 대 한 옆으로 넣어 덤프그것은 윈도우 XP에서 지원 10 64 비트, 그리고 디버그리킹 데이터 구조의 디버토리 테이블 베이스와 주소 표시 등 수집 하는 동안 추가 정보를 제공 합니다., 그 것 들 같은 메모리 분석 프레임 워크의 필수 매개 변수처럼 왜? 어떤 사람들은 불필요하게 자신의 메모리 스냅 샷을 스캔 1.5 또는 3 시간을 지출했다 일부 포럼에 읽은 후 나는이 프레임 워크가 얼마나 피할 수없는 주어진 필요한 기능이 될 것이라고 생각했다. 기회는 메모리 법의학을 수행하는 데 사용되는 경우, 당신은 아마 나중에되었다 dumpIt되었다 win32dd를 사용하고 있었다, 원시 메모리 덤프 또는 마이크로 소프트 크래시 덤프로, 윈도우에서 실제 메모리 수집을 할 수 있습니다 – 사고 응답자 및 법 집행 에이전트 중 인기있는 도구. 발표는 심지어 벤자민 Delpy있어, 가장 유명한 메모리 암호 덤프 기 Mimikatz의 저자, 모든 흥분, 누가 나에게 말했다 : Https://www.youtube.com/watch?v=T8SDI7kYSkw&list=PLDRL0OXbBArGyF1CXGA59RI47xidZzfXb XP에서 윈도우의 모든 버전이 지원됩니다 10 x64. 하지만 ClearPageFileAtShutdown 레지스트리 값도 최대 절전 모드 파일에 영향을 미칩니다.
그것은 당신이 휘발성 또는 메모리 덤프 파일을 읽을 수있는 다른 도구로 분석 할 수있는 원시 파일을 만듭니다. DumpIt는 조사자가 대상 컴퓨터 앞에 물리적으로 앉아 있지 않더라도 Windows 시스템의 메모리 이미지를 가져오는 편리한 방법을 제공합니다. 그것은 사용하기 쉽고, 심지어 순진한 사용자도 그것을 할 수 있습니다. 모든 시나리오에 적합하지는 않지만 많은 상황에서 메모리 를 더 쉽게 수집할 수 있습니다. 엔드포인트 솔루션은 경고를 제공하지만 컴퓨터의 핵심을 조사할 수 있는 기회를 제공하지는 않습니다.
