DumpIt

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

DumpIt은 MoonSols에서 만든 메모리 획득 도구이며 프리웨어이다. Windows XP 이상에서 실행 가능하며 x86(32bit), x64(64bit) 머신 모두 정상 동작한다. MoonSols의 설립자인 Matt Suiche의 오픈 소스의 메모리 획득 도구인 Win32dd와 Win64dd를 합쳐 생성되었으며 DumpIt의 특징은 ‘y’키 타이핑 한 번으로 누구나 쉽게 메모리를 이미징 할 수 있다는 점이다. 프리웨어인 DumpIt을 사용하기 위해서 MoonSols사의 웹페이지 (www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/)에서 공개버전 중 최신버전인 DumpIt 1.3.2를 다운받을 수 있으며 DumpIt 2.0은 MoonSols사의 상용 통합도구인 MoonSols Windows Memory Toolkit에 포함되어 있다.

사용법



[그림 1] Dump It 초기화면



[그림 1]은 Dump It을 실행했을 때의 초기화면이다. 물리 메모리 이미징을 시작하기 위해 “Are you sure you want to continue? [y/n]” 이라는 문구를 출력하고 사용자로부터 'y'키나 ‘n'키를 입력받을 때 까지 대기한다. 'y'키를 입력하면 바로 메모리 이미징을 시작하고, 'n'키를 입력하면 “aborting ...” 이라는 문구를 출력하면 프로그램을 종료한다. ctrl + '2' 키로도 프로그램을 종료할 수 있다. 메모리 이미지 파일의 저장경로는 현재 DumpIt 프로그램이 있는 위치에 저장되고 절대경로는 Destination에 명시되어 있다. 이미징이 완료되면 “Success.” 라는 문구가 출력된다. [그림 2]는 DumpIt이 이미징을 완료했을 때의 화면이다.



[그림 2] Dump It 이미징 완료화면



도구기능

[그림 2]를 보면 Address Space Size와 Free Space Size를 볼 수 있다. Address Space Size는 시스템의 물리 메모리 크기를 말하며, Free Space Size는 시스템의 페이지 파일이 저장되는 드라이브의 여유 공간과 물리 메모리의 여유 공간이 합쳐진 크기이다. 그 외 다른 옵션이나 기능은 존재하지 않으며 이미징 파일의 확장자는 Raw 포맷 덤프 파일(.raw)이다.

제한사항

별도의 옵션이 없기 때문에 단순한 Raw 포맷 이미지만 얻을 수 있다는 제약이 있다. Windows XP 이상의 환경에서 실행해야 하며 x86(32bit), x64(64bit) 환경 상관없이 Dump It을 실행할 수 있다. 단, Windows Server 2003에서는 정상적으로 동작되지 않는다.

수사 활용 방안

현장에서 Windows 시스템의 물리 메모리 이미지를 얻어야 할 때, 옵션 자체가 없기 때문에 간단하게 raw 덤프 이미지를 획득할 수 있다. 특히 메모리 획득 도구를 처음 써보는 경우나 다수의 시스템의 메모리를 획득해야 할 경우에 도구에 여러 옵션이 있다면 옵션 설정에 시간을 허비하거나 옵션 설정에 실수를 하여 다른 이미지를 얻을 수 있지만, Dump It을 사용하면 이런 문제가 발생하지 않는다.