본문 바로가기

security/포렌식

Belka Live Memeory Capture Tool

Belka 소프트라는  업체에서 만든 라이브 메모리 캡쳐 도구가 공개 되었습니다.


해당 도구는 무료 입니다.


http://forensic.belkasoft.com/en/ram/download.asp





해당 사이트에 E-mail 을 등록하고 나면 다운 받을 수 있으며, 해당 프로그램은 32비트와 64비트 두개 버전으로 나뉘어 집니다.


 

다운로드

RamCapturer.zip

RamCapturer64.zip


압축을 해제하면 실행파일과 드라이버 파일(.sys) 로 된 파일을 볼수 있습니다. 해당 실행 파일을 실행하면 다음과 같은 화면을 볼 수 있습니다.



기존에 공개된 다른 라이브 메모리 캡쳐 도구와의 차별성은 보여지지 않습니다..ㅡ,.ㅡ;

그래도 생각보다는 안정적으로 캡쳐가 진행되고 , 수행됩니다.

일부 라이브 캡쳐 도구들이 너무 많은 기능을 제공하기 위해서 무겁거나 , 불안정스러운 모습을 보이기도 하는데 반해 간단하면서 메모리 캡쳐 기능에 충실하다고 할 수 있습니다.


해당 제품은 드라이버 파일과 함께 USB 에 넣어서 포터블모드로 사용이 가능합니다.

또한, 현재 나온 최신 OS 를 비롯하여 대부분의 윈도우를 지원하므로 OS 버전에 영향을 받아서 메모리 덤프를 수행하기 어려운 도구에 비해서 호환성도 좋다고 할 수 있습니다.



이렇게만 정리하면 이 제품이 너무 빈약해 보이겠죠??


반전!!


이 제품은 많은 사용자 레벨( User LEVEL ) 도구와 달리 커널 레벨 (Kernel LEVEL )로 동작하며 32/64비트 커널 드라이버를 내장하고 있습니다.

크기 또한 작기 때문에 메모리 덤프시에 발생되는 변화를 최소화 하여 덤핑을 수행할 수 있습니다.


또한, 안티 메모리 덤핑 아니 안티 디버깅이 활성화 된 경우에도 커널모드에서 동작하여 시스템 보호 모드를 우회하여 안정적인 덤핑을 수행할 수 있습니다.


특히, nProtect GameGuard 와 같은 도구에 의해서 보호되는 프로세스가 사용자 레벨에서 동작하는데, AccessData의 FTK Imager 나 PMdump 같은 도구는 정상적으로 메모리 덤프를 수행하지 못한다는 점입니다.


해당 사이트에서 주장하는 바대로라면 nProtect Guard 와 같은 보호 모드 프로세스가 구동중인 환경에서 메모리를 캡쳐 할 때


AccessData FTK Imager 3.0.0.144  --> 실제 메모리 데이터 대신 0 반환

PMDump 1.2  --> 임의의 데이터 반환

Belkasoft Live RAM Capturer 1.0  --> 정상적인 메모리 셋 수집


이라는 결과가 도출 되었다고 합니다.


따라서, 이러한점을 고려할 때 한번 정도는 관심을 가지고 지켜봐야 하는 라이브 메모리 캡쳐 도구 인 것 같습니다...^_^

제작사의 말대로라면 말이죠...^^;  nProtect Guard 설치 후 한번 각 도구들로 덤핑을 수행해 봐야 할 것 같긴 합니다...@@