2024. 11. 6. 16:25
메모리 덤프 프로그램 winpmem_mini_x64_rc2.exe
헥스 에디터(Hex Editor)
메모장에 메모리 덤프로 확인할 데이터를 입력함. 메모장은 덤프가 끝날 때까지 종료하지 않음.
PowerShell > 관리자 권한으로 실행
.\winpmem_mini_x64_rc2.exe [저장할_파일명].raw
HxD > Ctrl + F로 텍스트 문자열을 검색함.
텍스트 인코딩은 유니코드로 설정함.
메모리 덤프 내에서 (중요 정보라고 하는)데이터를 읽어옴.
'디지털포렌식 > 포렌식 기초' 카테고리의 다른 글
| Windows7에서 해시 값 추출 (0) | 2024.11.06 |
|---|---|
| FTK Imager를 이용한 디스크 이미징(Disk Imaging) (1) | 2024.11.06 |