휘발성 정보 수집 (5)

마지막으로 휘발성 정보 수집은 프로세스 덤프가 있다.

[프로세스 덤프]
프로세스는 소스코드와 DLL 파일, 실행전체경로 등을 가상메모리에 업로드해 동작한다.
프로세스 덤프란 정확히 말하면 프로세스가 사용하는 가상메모리를 덤프하는 것이며, 덤프를 분석함으로써 좀 더 정확하고 중요한 정보를 얻게 될 수 있다.
덤프 방법으로는 MS사에서 개발한 userdump.exe 도구를 사용하는 것인데, 이 도구는 일반적으로 OS에 포함되어 있지 않기 때문에 별도로 다운받아 설치를 해야 한다.
이 도구는 32bit 환경의 시스템과 64bit 환경의 시스템을 지원하기 때문에 호환성이 좋다.
해당 도구를 사용할 때는 프로세스가 정지상태이어야만 정확한 덤프가 가능하다.
프로세스가 동작하고 있다면 메모리에 내용이 덤프 중 변경 될 수 있어 정확도가 떨어진다.
다운로드 :  http://www.microsoft.com/download/en/details.aspx?displaylang=kr&id=4060 
사용법 : userdump <PID> <저장할이름.dmp>    ----> 덤프 수행 명령어
            userdump -p                                     ----> 프로세스 PID 출력

 

[그림 1 - userdump.exe 파일로 PID 출력한 결과]

[그림 2 - httpd 프로세스 덤프 수행 모습]

 [그림 3 - httpd 프로세스 덤프 결과]