system memory live dump - DumpIt 라이선스 그리고 winpmem

BSOD 발생 없이 시스템이 동작하는 상태에서 시스템 전체 메모리 덤프를 떠 달라는 고객님의 요청이 있었습니다. 그런것도 되나? 찾아보니 대표적으로 DumpIt 이 그걸 해주고 있었어요.

 

다만 DumpIt은 개인이 사용하면 무료이지만 상업용 패키지에서 사용할 경우는 라이선스 비용이 발생됩니다. 직접 제작자? 제작사에 문의해보니 10만 PC 이하인 경우 대당 $1 ~ $0.5 를 요구. 

 

Thanks for your interest! For OEM agreement, 
the price range per node to include DumpIt is $0.5-$1/node/year 
where the price starts decreasing (from $1/node/year) after 100K nodes. 

Although, more than happy to discuss it to have something that fits your pricing.

고객님이 PC를 많이 가진 분이시라 대략 4만대 이상일텐데 그럼 DumpIt 비용만 년에 4만달러. 

당연히 돈을 지불할 고객님이 아니시고, 우리 역시 돈을 지불할 회사가 아닌지라. 인포섹 한 모책임 덕분에 Rekall 이란 것을 알게 되었고 그걸 검색하다보니 winpmem 이란 녀석이 나왔습니다. 

 

google/rekall

그렇습니다. 구글님이 주신 오픈소스. 

실행해보니 제 PC 기준 (메모리 64Gb, CPU 8코어) 27분  걸렸는데요 이는 DumpIt의 6~7분에 비해 느립니다.

그래도 소스가 공개된 오픈소스잖아요.

 

메모리 획득 도구 - Digital Forensic Wikipedia

winpmem의 라이선스는 Apache License 2.0 입니다.

아파치 2.0 라이선스는 누구나 해당 소프트웨어에서 파생된 프로그램을 제작할 수 있으며 저작권을 양도, 전송할 수 있는 라이선스 규정을 의미한다. 아파치 라이선스에 따르면 누구든 자유롭게 아파치 소프트웨어를 다운 받아 부분 혹은 전체를 개인적 혹은 상업적 목적으로 이용할 수 있으며 재배포시에는 원본 소스 코드 또는 수정한 소스 코드를 반드시 포함시켜야 하는 것은 아니고[5][6] 아파치 라이선스, 버전 2.0을 포함시켜야 하며 아파치 소프트웨어 재단에 개발된 소프트웨어라는 것을 명확하게 밝혀야 한다.

아파치 라이선스 - 위키백과, 우리 모두의 백과사전

 

winpmem이 DumpIt에 비해 지나치게 느리기에 DumpIt 개발자와 가격 네고에 들어갔습니다. 4만대를 대상으로 한다면 매년 $40K. 고객사에서 5년간 쓴다고 생각하면 $200K. 그래서 너무 비싸다. 가격 깍고 매년 받을 생각은 하지 마라. 느리지만 winpmem을 쓸 수도 있다라고 딜을 던져보니 DumpIt 개발자님 

Free software is always free for a reason :) 
DumpIt also generates Microsoft crash dumps by default 
unlike other options that generates dead format like raw and that become unusable 
in the long run.

요런 답을 주셨어요. 으흠. 승부욕이 생기네요. 

winpmem을 바탕으로 ms crash dump 포멧으로 DumpIt 수준으로 빠르게 생성하는 툴을 만들어 버리고 싶은?

 

일단 winpmem이 어떤 식으로 동작하는지 보고요. 그래야 더 빠르게 만들 가능성이 있는지 없는지를 알게 되겠죠.