• messup 문제 풀이
• 실습

1. 메모리 포렌식의 필요성

• 파일리스 기반의 악성코드가 많아짐(악성코드 분석)
• 프로세스 의 행위 탐지
• 비활성 데이터에 남지 않는 사용자의 행위를 식별하기 위해(ex 시크릿 모드)
• 네트워크 연결 정보(활성 데이터) 분석
• 복호화, 언패킹, 디코딩된 데이터
• 패스워드 및 암호키 획득

2. 메모리 이해

• 사용자가 원하는 작업을 처리하기 위한 데이터, 처리결과 등을 기억
  • 당시 상황을 가장 잘 보존하고 있는 데이터
  • 최대절전모드(Hibernation 파일)을 예로 생각-hiberfil.sys →코멜툴킷