디지털포렌식

VirtualBox 가상머신의 메모리 덤프 추출 (2)

RAM dump with VirtualBox: via pgmphystofile

VirtualBox에는 디버그 모드가 존재한다. 일반적으로 VB를 그냥 실행하면 이 기능이 보이지 않는데, 터미널에서 옵션을 주어 실행하면 보이는 메뉴가 있다.


VM이 실행되고 하단에 디버그 명령줄 Console이 열리면서 VBoxDbg> 라는 커맨드가 표출된다.

여기에 .pgmphystofile <파일경로/이름> 형식으로 Command 를 입력하자.


메모리 덤프가 추출되는데 다소 시간이 소요된다. 아래는 완료된 화면

해당 파일을 메모리 분석 프로그램 Volatility 가 깔린 곳으로 이동시킨다.

해당 OS의 프로파일을 맞춰주고 사용하려는 플러그인을 실행해보면 잘 된다.


이 방법이 훨씬 편리한 것 같지만 혹시나 잘 안될 경우 지난번 글 "VirtualBox 가상머신의 메모리 덤프 추출 (1)"을 참고하기 바란다.

Software Security Engineer

CPUU 님의 창작활동을 응원하고 싶으세요?

CPUU의 Daydreamin'
CPUU의 Daydreamin'
구독자 187

0개의 댓글

SNS 계정으로 간편하게 로그인하고 댓글을 남겨주세요.
새로운 알림이 없습니다.