소개[편집]

[그림 1] Mem Marshal 프로세스 목록

[그림 2] Mem Marshal 레지스트리

Mem Marshal은 ATC-NY에서 개발한 메모리 분석 도구이고, Windows XP 이상의 환경에서 실행 가능하다. 상용 툴이며, 가격은 $495이다. Windows XP(32-bit)의 메모리를 분석할 수 있으며 실행 프로세스 목록, 열어본 파일 목록, 네트워크 연결 상태, 레지스트리, 프로세스 DLL, SID 등을 확인할 수 있으며 숨겨진 프로세스나 네트워크 연결을 자동으로 찾아준다. Gmail과 Yahoo 메일을 웹 브라우저 메모리로부터 추출할 수 있으며, 정규식을 통한 문자열 검색과 이미지 카빙 또한 제공한다. 일반적인 메모리 덤프 포맷인 raw, crash dump, 하이버네이션 파일 포맷을 지원하고 PDF, RTF, HTML형식으로 리포팅 기능을 제공하기 때문에 메모리를 효과적으로 분석할 수 있다. 아래의 [그림 1]와 [그림 2]은 Mem Marshal의 실행화면이다.