win64(32)dd(이하, windd)는 공개용 윈도우 메모리 덤프 프로그램 중 가장 많은 윈도우 버전을 지원하는 동시에 가장 훌륭한 기능을 지니고 있는 프로그램이다.


windd는 32비트용 win32dd와, 64비트용 win64dd가 존재한다.




[Figure 1 - Windd 디렉토리]



windd의 기본적인 로우 메모리 덤핑 방법은 다음과 같다.


Win32(64)dd.exe -f [저장 경로와 파일 명]


ex) win64dd.exe -f C:\testdump.dmp



[Figure 2 - 메모리 덤핑 프로세스]



대체로 8기가의 메모리에 40%의 유징이면 1~2분 가량 소요된다.



[Figure 3 - Windd -help]



win64(32)dd는 제작자 Mattieu Suiche의 블로그인 www.msuiche.net, 또는 http://sourceforge.net/projects/windd에서 받을 수 있다.



'공부 > Forensics' 카테고리의 다른 글

[Sysinternals]PsList.exe  (1) 2012.07.16
[Windows]Netstat.exe  (0) 2012.07.16
[Windows]Runas.exe  (0) 2012.07.15
데이터 복구와 파일 카빙의 차이점  (0) 2012.07.05
[PaulTew]Timelord  (0) 2012.07.05
Posted by extr
: