Ⅰ.はじめに
物理メモリを任意の物理記憶媒体にダンプする方法です。
Belkasoft社の無料ダンプツール(Belkasoft Live RAM Capture)を利用します。
Ⅱ. Belkasoft Live RAM Captureのすごいところ
- 無料
ダンプ後のファイルを解析するBelkasoft Evidence Center は有料ですが、Belkasoft Live RAM Capture は無料で配布されています。
- 簡単に任意のタイミングでダンプが可能
アプリケーション単位のメモリであれば任意のタイミングでダンプ可能ですが、
物理メモリのフルダンプはシステムのクラッシュ時にのみ可能です。
従来の方法ではBSoDを意図的に発生させシステムをクラッシュさせてフルダンプを取らなければいけません。
- プロテクトの回避が可能
アンチデバッグやダンププロテクションといったメモリダンプを妨げるものを回避してメモリのダンプが可能です。
Ⅲ. メモリダンプ方法
1. Belkasoft Live RAM Captureをダウンロードする
2. 保存先を指定し、Captureをクリックする
3. 以上でダンプ完了です。
Ⅳ. ダンプから画像ファイルを取り出す
Belkasoft Evidence Center(有料。高機能。試用可能)でも可能ですが、今回はWinHex(有料。試用可能)を利用します。
1. WinHexでダンプしたファイルを読み込む
2. Tools -> Disk Tools -> File Recovery by Type
3. Picturesにチェックを入れてOKをクリックする
4. メモリダンプから画像ファイルが生成されます
