İPUCU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

Seçenekler

Bilişim Suçlarında RAM (Geçici Bellek) Analizinin Önemi

10-12-2015 22:40
#1
Üyelik tarihi:
07/2014
Nereden:
Mutfak
Mesajlar:
2.253
Teşekkür (Etti):
175
Teşekkür (Aldı):
391
Konular:
574
Ticaret:
(0) %
Çok yakın bir zamana kadar, bilişim suçlarında olay yeri inceleme birimlerinin kontrol listesinde “Açık bilgisayarın güç kaynağı kablosunu çekerek kapat” ibaresi yaygın bir şekilde kullanılıyordu. Bu işlemin dayandığı en büyük tez ise, bilgisayarın klasik kapanma esnasında delillerin (wipe ve deep freze) gibi yazılımlar yüzünden zarar görme ihtimaliydi.

Ancak, bilişim suçlarının evrimi, sosyal medya kullanımının yaygınlaşması, malware yazılımların (kötü niyetli yazılımlar) sayısında ve etkisinde yaşanan artışlar, bulut teknolojilerinin yaygınlaşması, kriptolu disk alanlarının kullanımın artması gibi etkenler nedeniyle bilgisayarın RAM’inin (Geçici Bellek) kopyalanarak incelenmesini zorunlu bir standart haline getirmiştir. Artık, olay yeri ekipleri, bilgisayarın güç kablosunu çekmek bir yana, çalışır halde bulunan bir bilgisayarın ilk önce RAM’in kopyasının alınmasının bir zorunluluk olduğunu bilmektedir.

Peki, RAM kopyalamayı bu kadar önemli ve kritik hale getiren nedir? RAM’de ne tür bilgiler bulunmaktadır ve bu bilgiler ne işe yaramaktadır? İşte size cevapları:

- Çalışan prosesler ve hizmetlere ait bilgiler,
- Korumalı yazılımlara ait paketlenmemiş ve kriptolanmamış ham veriler,
- Sistem bilgileri (Örn:En son kapanmadan bu yana geçen zaman),
- Sisteme oturum açan kullanıcılara ait bilgiler,
- Kayıt defteri bilgileri,
- Açık ağ bağlantıları ve ARP önbellek,
- Sohbet kayıtları, sosyal ağ kalıntıları ve MMORPG oyunlarındaki iletişim kayıtları,
- Tarayıcı yazılımlara ait izler ve kayıt bilgileri, ziyaret edilen adres bilgileri,
- Web e-posta üzerinden yapılan en son işlemler,
- Bulut sistemlerine ait teknik bilgi ve veriler,
- Kriptolu disk alanlarına ait anahtarlar,
- En son bakılan fotoğraflar,
- Sistemde çalışan kötü niyetli yazılımlar.


Bu kadar önemli bilgilerin elde edildiği bir delili toplamak ve analiz etmek bir bilişim suçu araştırmacısı ve adli bilişim uzmanı için çok önemlidir. Zira artık pek çok bilişim suçu vakasının çözümünde, sırf disk adli kopyasının incelenmesi kesin sonucu bulmak için yeterli olmamaktadır. Uçucu delil olarak kabul edilen RAM analizi ve ağ aktivite analizinin yapılması bir zorunluluk halini almıştır.

RAM’in adli kopyasını almak ve analiz etmek için kullanılan bazı yazılımlara ait bilgiler aşağıda sunulmuştur:

FTK Imager, E-Discovery & Computer Forensics | AccessData

Belkasoft Live RAM Capturer, Belkasoft: Evidence Search and Analysis Software for Digital Forensic Investigations

Magnet Forensics IEF, www.magnetforensics.com

Volatility, www.volatilesystems.com

X-Ways Capture, X-Ways Capture: Successfully seize all media, files, and RAM

MoonSols DumpIT, MoonSols Windows Memory Toolkit | MoonSols

kaynak: http://www.difose.com/blog/index.php...lizinin-oenemi
Kullanıcı İmzası


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı