Mac Memory Reader
소개[편집]
Mac Memory Reader는 ATC-NY의 CLI기반 프리웨어 메모리 획득 도구로써 Mac OS 10.8까지 실행 가능하다. x86, x64 두 시스템의 환경에서 모두 정상 작동한다. 다음의 웹페이지(http://www.cybermarshal.com/cyber-marshal-utilities/mac-memory-reader) 에서 Mac Memory Reader를 다운로드 할 수 있다. 옵션으로 덤프 결과를 싱글 파일이 아닌 여러 파일로 본할 저장이 가능하고 RAM Snaoshot을 외부로 전송하는 TCP Socket 기능을 지원하다. MD5, SHA-1, SHA-256 등의 해시를 지원한다.
사용법[편집]
Mac Memory Reader의 기본적인 사용법은 [표 1]과 같다
| 명령어 | 비고 |
| MacMemoryReader [옵션] [-H 해시 유형] [파일명] | 루트 권한의 쉘에서 실행 |
루트 권한의 쉘에서 MacMemoryReader <파일명>의 형식으로 메모리를 디폴트 값인 Mach-O 포맷으로 이미징할 수 있으며 RAW 포맷을 이용하려면 –p 옵션을 사용해야 한다. 파일명 부분에 ‘-’를 입력시 표준 출력(stdout)으로 사용할 수 있어 netcat과 연동할 수 있다. Mac Memory Reader의 옵션은 [표 2]과 같다.
| 옵션 | 설명 | 비고 |
| -g | 콘솔 화면에 이미징 진행도를 반복적으로 출력한다. | |
| -d | 프로그램의 진행 과정을 콘솔화면으로 출력한다. | |
| -H | 이미징 후에 선택한 해시 알고리즘으로 계산하여 콘솔화면에 출력한다. | MD5, SHA-1, SHA-256, SHA-512 지원 |
| -r | 장치 메모리 영역과 예약영역까지 이미징한다. | 시스템 충돌 가능성이 있음 |
| -p | 아무 헤더가 없는 RAW 포맷으로 이미징한다. | |
| -P | 메모리 주소사이의 공백을 0(zero)으로 패딩하여 이미징한다. | |
| -k | 메모리를 /dev/mem에 마운트하고 메모리 맵을 /dev/pmap에 마운트한다. | 메모리 덤프는 하지 않음. |
-H 옵션은 MD5, SHA-1, SHA-256, SHA-512를 지원한다. -p 와 –P 옵션으로 제로 패딩을 선택할 수 있으며, -k 옵션은ㅇ 메모리 덤프는 하지 않은체 메모리와 메모리 맵을 각각 /dev/mem, /dev/pmap에 마운트 한다.
도구기능[편집]
MacMemoryReader 실행시 “ERROR: failed to read from /dev/mem (error): Bad address” 문구를 출력하며 정상 작동할 수 없다. -k 옵션은 정상 작동한다.
제한사항[편집]
Mac Memory Reader는 OS X 10.4부터 10.8 까지 지원된다고 하지만 실제로 사용했을 때 Mac OS X 10.8.1 버전과 10.8.4 버전에서 “Bad address”에러를 출력하며 메모리 덤프가 정상적으로 되지 않는다. Cybermarshal의 홈페이지 폐쇄로 도구를 확보하기 어렵다.
수사 활용 방법[편집]
Mac OS X 10.8 버전에서 정상작동하지 않고 Cybermarshal의 웹사이트 폐쇄로 수사에 활용하기 어렵다.
