전달받은 외장장치에 저장되어 있는 MD-PCM.exe 파일을 실행해주세요.
MD-PCM 실행을 위해 별도의 동글 연결은 필요하지 않습니다.
아니요. 복사해서 사용할 수 없습니다.
납품된 외장장치에서만 실행하여 사용이 가능합니다.
만약, 파일을 복사해서 다른 장치에서 실행하는 경우 아래 사진과 같이 경고 알림이 표시되고 실행이 불가합니다.
라이선스가 등록된 외장장치에서만 프로그램 정상 실행이 가능한 점 유의해주세요.
증거 기기(조사 대상 기기)에 외장장치를 연결하여 실행하였다면 ‘증거 기기’를,
파일을 수집해 왔거나 현재 분석 PC에서 MD-PCM을 실행하였다면 ‘복제본 저장 기기’를 선택해주세요.
선택 대상에 따라 증거물 내의 파일 경로가 다르게 구성됩니다.
‘복제본 저장 기기’로 수집을 진행한 경우, 상대 경로로 구성됨
카카오톡, 네이트온, 위챗 등을 포함한 다양한 PC Messenger 획득이 가능합니다.
뿐만 아니라 텔레그램, 슬랙, 팀즈 등 내보내기 파일 또한 수집 지원 중입니다.
자세한 지원 목록은 MD-PCM 홈화면 하단의 ‘지원 목록’을 참고해주세요.
로그인되지 않은 상태에서 메모리 덤프 파일을 수집한 경우, 분석 대상 앱의 데이터를 정상적으로 복호화할 수 없어, 분석 결과에 멀티미디어 파일만 표시될 수 있습니다.
정상적인 분석을 위해서는 로그인된 상태에서 메모리 덤프 파일을 수집해 주세요.
위챗, 왓츠앱, 라인 등이 대표적으로 로그인이 필요한 앱이며, 로그인 알림이 표시된 경우에는 꼭 로그인한 다음 수집을 진행해주세요.
작업 관리자에서 프로세스에 대한 덤프 파일을 만들어야 합니다.
상세한 내용은 아래를 참고하세요.
수집하고자 하는 앱에 로그인 합니다.
‘작업 관리자’를 엽니다. (단축키: Ctrl + Shift + Esc)
수집 대상 앱 프로세스에서 마우스 우클릭 후 '덤프 파일 만들기'를 선택합니다.
‘파일 위치 열기’를 눌러 덤프 파일을 수집합니다.
Windows 버전에 따라, '덤프 파일 만들기' 기능이 비활성화되어 있을 수 있습니다.
만약 메인 프로세스에서 해당 기능이 비활성화된 경우, 프로세스를 확장하여 하위 프로세스에서 덤프 파일을 생성해 주세요.
메인 프로세스와 동일한 이름을 가진 하위 프로세스에서 덤프 파일을 생성해주세요!
아니요. 입력하지 않아도 괜찮습니다.
복호화에 필요한 앱의 사용자 내부 ID를 알고 있다면, 입력하여 수집 시간을 단축하세요!
모르시는 경우에는 입력하지 않으셔도 자동으로 사용자 ID를 찾은 다음, 수집을 진행합니다.
입력할 때는 콤마(,) 혹은 공백( )으로 다중 입력이 가능하니 참고 바랍니다.
사용자 ID는 카카오톡과 네이트온 데이터 복호화 시 활용 되는 값으로, 앱에서 부여하는 사용자 고유 식별 번호입니다.
수집한 이미지 파일(.mdf)을 MD-RED 사건에 추가한 다음, 분석을 진행하세요.
단, MD-RED 동글 외에도 PCM 라이선스 동글을 연결해야 합니다.
분석 진행 중 라이선스가 해제되면 분석 결과를 확인할 수 없으니 동글 연결이 해제되지 않도록 유의하세요.