Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Genel Güvenlik > Adli Bilişim

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.



Bilişim Suçlarında RAM (Geçici Bellek) Analizinin Önemi

Adli Bilişim

Yeni Konu aç Cevapla
 
Seçenekler
Alt 10-12-2015 22:40   #1
  • Yarbay
  • Üye Bilgileri
Üyelik tarihi
07/2014
Nereden
Mutfak
Mesajlar
Konular

Teşekkür (Etti): 175
Teşekkür (Aldı): 391


Bilişim Suçlarında RAM (Geçici Bellek) Analizinin Önemi



Çok yakın bir zamana kadar, bilişim suçlarında olay yeri inceleme birimlerinin kontrol listesinde “Açık bilgisayarın güç kaynağı kablosunu çekerek kapat” ibaresi yaygın bir şekilde kullanılıyordu. Bu işlemin dayandığı en büyük tez ise, bilgisayarın klasik kapanma esnasında delillerin (wipe ve deep freze) gibi yazılımlar yüzünden zarar görme ihtimaliydi.

Ancak, bilişim suçlarının evrimi, sosyal medya kullanımının yaygınlaşması, malware yazılımların (kötü niyetli yazılımlar) sayısında ve etkisinde yaşanan artışlar, bulut teknolojilerinin yaygınlaşması, kriptolu disk alanlarının kullanımın artması gibi etkenler nedeniyle bilgisayarın RAM’inin (Geçici Bellek) kopyalanarak incelenmesini zorunlu bir standart haline getirmiştir. Artık, olay yeri ekipleri, bilgisayarın güç kablosunu çekmek bir yana, çalışır halde bulunan bir bilgisayarın ilk önce RAM’in kopyasının alınmasının bir zorunluluk olduğunu bilmektedir.

Peki, RAM kopyalamayı bu kadar önemli ve kritik hale getiren nedir? RAM’de ne tür bilgiler bulunmaktadır ve bu bilgiler ne işe yaramaktadır? İşte size cevapları:

- Çalışan prosesler ve hizmetlere ait bilgiler,
- Korumalı yazılımlara ait paketlenmemiş ve kriptolanmamış ham veriler,
- Sistem bilgileri (Örn:En son kapanmadan bu yana geçen zaman),
- Sisteme oturum açan kullanıcılara ait bilgiler,
- Kayıt defteri bilgileri,
- Açık ağ bağlantıları ve ARP önbellek,
- Sohbet kayıtları, sosyal ağ kalıntıları ve MMORPG oyunlarındaki iletişim kayıtları,
- Tarayıcı yazılımlara ait izler ve kayıt bilgileri, ziyaret edilen adres bilgileri,
- Web e-posta üzerinden yapılan en son işlemler,
- Bulut sistemlerine ait teknik bilgi ve veriler,
- Kriptolu disk alanlarına ait anahtarlar,
- En son bakılan fotoğraflar,
- Sistemde çalışan kötü niyetli yazılımlar.


Bu kadar önemli bilgilerin elde edildiği bir delili toplamak ve analiz etmek bir bilişim suçu araştırmacısı ve adli bilişim uzmanı için çok önemlidir. Zira artık pek çok bilişim suçu vakasının çözümünde, sırf disk adli kopyasının incelenmesi kesin sonucu bulmak için yeterli olmamaktadır. Uçucu delil olarak kabul edilen RAM analizi ve ağ aktivite analizinin yapılması bir zorunluluk halini almıştır.

RAM’in adli kopyasını almak ve analiz etmek için kullanılan bazı yazılımlara ait bilgiler aşağıda sunulmuştur:

FTK Imager, E-Discovery & Computer Forensics | AccessData

Belkasoft Live RAM Capturer, Belkasoft: Evidence Search and Analysis Software for Digital Forensic Investigations

Magnet Forensics IEF, www.magnetforensics.com

Volatility, www.volatilesystems.com

X-Ways Capture, X-Ways Capture: Successfully seize all media, files, and RAM

MoonSols DumpIT, MoonSols Windows Memory Toolkit | MoonSols

kaynak: http://www.difose.com/blog/index.php...lizinin-oenemi



___________________________________________

 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau