Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Genel Güvenlik > Adli Bilişim

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.



Adli Bilişimde Ram İmajı Almak ve Ram Analizi

Adli Bilişim

Yeni Konu aç Cevapla
 
Seçenekler
Alt 14-02-2018 19:28   #1
  • Özel Üye
  • Üye Bilgileri
Üyelik tarihi
02/2011
Nereden
Gökyüzü
Yaş
28
Mesajlar
Konular

Teşekkür (Etti): 2183
Teşekkür (Aldı): 8241


Adli Bilişimde Ram İmajı Almak ve Ram Analizi





İmaj alma ve üzerinde çalışma yapma aşamasından öncesinde ram mantığını anlatmak isterim kısaca. Ram, Random Access Memory demektir. Yani rastgele erişilebilir bellek. Geçici hafıza dediğimiz kısımdır. Sizlerin bilgisayarınızda kalıcı olarak saklamak istemediğiniz, gerek duymadığınız şeyler burada saklanır. Örnek vermek gerekirse, bir oyun oynuyorsunuz ve açılışta bir bekleme süresi tanıyor. İşte bu esnada oyun paketleri geçici belleğe yüklenir. Bu sayede daha hızlı erişim sağlanır oyun esnasında. Kimi oyunlarda belli bir aşamaya gelince birkaç saniyeliğine bekletir ve yeni dosyaları o aralıkta geçici belleğe aktarmayı tercih eder. Diğer yandan çerez bilgileri, son yaptığınız işlemler ve daha pek çok şey bu bellekte yer alır. Ancak enerji kesildiğinde yani bilgisayarı kapattığınızda, şarjı bittiğinde veya prizden çektiğinizde, özetle bilgisayarın enerjisini kestiğinizde geçici bellek kendini sıfırlar. Şimdi ram analizi yaparken nelere erişebileceğimiz kafanızda daha iyi şekillenmiş olmalı.

Öncelikle ram imajını nasıl alacağız bunu anlatalım. Demiştik ya enerji kesintisinde bellek kendini sıfırlar. İşte bu yüzden çalışır durumda kalmak zorundadır imaj alınacak cihaz. Filmlerden hatırlarsınız, bir hacker vardır özel tim girer kapıyı bir tekmeyle parçalar, hackerı tutuklar kasayı çeker sırtlar götürür. Öyle bir dünya yok. O enerji kesilirse ramdeki tüm bilgiler kaybolur. Çalışır halde imaj alınmalıdır. Diğer yandan şayet siz kapınızda özel tim falan görürseniz ramdeki bilgileri kaçırmak adına bilgisayarı kapatabilirsiniz evet.



Ram imajı almak için yardımcı birçok program var. Ben Windows’ta çalıştığınızı kabul ederek Ram Capture programını önereceğim. Programı açtıktan sonra “.mem” uzantılı imajın nereye kaydolacağını belirliyorsunuz ve capture butonuna basıyorsunuz. Hepsi bu. Belli bir sürecin sonunda imajı alıyor. İşte şimdi o bilgisayar kapanabilir. Çünkü geçici belleğin kopyası eksiksiz elinizde.



Gelelim bunun incelenmesine. İncelemeyi de linux üzerinde yaptığınızı kabul ediyorum ve “volatility” aracı üzerinden anlatımıma devam ediyorum. Öncelikle ram dosyamızın olduğu dizine geçiyoruz “cd” komutu ile. Daha sonra çalışmaya başlıyoruz. “volatility -f ram.mem imageinfo” komutu ile ram imajımızı aldığımız bilgisayarın işletim sistemine dair bilgi topluyoruz. Sonraki komutlarda da ihtiyacımız olacak.

Daha sonrasında çok fazla komutla çalışmak mümkün. Tamamı için “volatility -help” komutunu çalıştırabilirsiniz. Ben önemli olanlardan bahsedip birkaç örnek görüntü paylaşacağım.



Kod:
volatility -f ram.mem –profiles WinXPSP2x86 hashdump
Bu komut ile Windows sistemdeki kullanıcıları ve şifrelerini tespit etmeniz mümkün. Şifreler md5 formatında geliyor olacak.. Onları kırmak da size kalmış.



Kod:
volatility -f ram.mem –profiles WinXPSP2x86 iehistory
Bu komutla da internet explorer geçmişini görmek mümkün. Aman canım explorer kullanan mı kaldı? Eh kalmadı fakat ben yine yazımda belirteyim. Chrome ve diğer tarayıcılardan geçmişi çeken araçlar da var.



volatility -f ram.mem –profiles WinXPSP2x86 notepad

Bu komut ise notepad üzerinde yapılan son işlemleri kaydeder. Dikkat ettiyseniz internet geçmişinde son girilenlerde bir txt dosyası yer alıyordu. Burada da acaba onda ne yazıyormuş diye bakmış olduk. Son yazılan sizce de şüpheli değil mi? Sezar şifrelemeye benziyor. İsterseniz araştırın bakalım ne yazıyormuş notepad dosyasındaki şifreli metinde.



Kod:
volatility -f ram.mem –profiles WinXPSP2x86 pslist
Pslist ile o esnada çalışan programları görmek mümkün. Ram imajı aldığınız programı da görmeniz güçlü ihtimal. Sonuçta son çalışanlar listesinde o da var.



Kod:
volatility -f ram.mem –profiles WinXPSP2x86 dlllist
Bu komutta ise dll listesi oluşturur bizim için. Bu komutla beraber örneklerimi sonlandırayım. Sizler diğer komutları inceleyebilirsiniz. Çok ilginizi çeken bir komut varsa veya merak ettiğiniz, yorum olarak bırakabilirsiniz. Sürücüleri listelemek, dump işlemleri yapmak da mümkün imaj içerisinde.





___________________________________________


ATATÜRK'LE KALIN...

CUMHURİYETLE KALIN...
SAĞLICAKLA KALIN...


https://i.resimyukle.xyz/HdQ4GB.png
BLOGUMA GİTMEK İÇİN TIKLA!
info@caglar-celik.com
Twitter : @ddenekk


 Offline  
 
Alıntı ile Cevapla
Alt 14-02-2018 19:40   #2
  • Üsteğmen
  • Üye Bilgileri
Üyelik tarihi
06/2017
Mesajlar
Konular

Teşekkür (Etti): 20
Teşekkür (Aldı): 37




Eline sağlık reis her ne kadar değeri bilinmesede altın değerinde bir konu içeriği paylaşmışsın.



___________________________________________

Şüphe etmek düşünmektir,
Düşünmekse var olmaktır.
Öyleyse var olduğum şüphesizdir.

Düşünüyorum o halde varım!


-Rene Descartes

 Offline  
 
Alıntı ile Cevapla
Alt 14-02-2018 19:41   #3
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
10/2009
Nereden
BURSA
Yaş
28
Mesajlar
Konular

Teşekkür (Etti): 17
Teşekkür (Aldı): 15




Bu konularda ne kadar bilgi eksikliğim olsa da konuyu baştan sonra görselleriyle birlikte incelediğimde en azından mantığını anlayabildim. Elinize emeğinize sağlık.



___________________________________________

Güneş geceyi sevmedi diye ay doğmayı bırakmaz.
 Offline  
 
Alıntı ile Cevapla
Alt 14-02-2018 19:58   #4
  • Bilgi Teknolojileri Ekibi
  • Üye Bilgileri
Üyelik tarihi
02/2016
Nereden
dust 2
Mesajlar
Konular

Teşekkür (Etti): 25
Teşekkür (Aldı): 276




eline sağlık gerçekten iyi bir konu ram imajı alındığını ilk defa sayende öğrendim



___________________________________________

Biz kimsenin düşmanı değiliz yalnız insanlığın düşmanı olanlara düşmanız

K.atatürk

τουρκική , турецкий , 土耳其, Türkisch,turc, Turkish, Türk , турецька , 𐱅𐰇𐰼𐰜

© ◄2016-2019►

 Offline  
 
Alıntı ile Cevapla
Alt 14-02-2018 20:02   #5
  • Yarbay
  • Üye Bilgileri
Üyelik tarihi
08/2016
Yaş
100
Mesajlar
Konular

Teşekkür (Etti): 1761
Teşekkür (Aldı): 757




yeni bir şey öğrendim iyi oldu eline sağlık
 Offline  
 
Alıntı ile Cevapla
Alt 14-02-2018 20:33   #6
  • Yüzbaşı
  • Üye Bilgileri
Üyelik tarihi
03/2017
Mesajlar
Konular

Teşekkür (Etti): 33
Teşekkür (Aldı): 71




eline sağlık güzel bir konu olmuş



___________________________________________

PC Hack --> %30
Web Hack, Security --> %50
Webmaster --> %10
HTML --> %10
PHP, Asp --> %10
SQL --> %30
VisualBasic --> %5
C#, C++, C --> %5
Video Animasyon --> %10
Exploits --> %5
Sosyal Mühendislik --> %65
Web Tasarım --> %20
Photoshop --> %20
Keylogger --> %70
Trojan --> %70

 Offline  
 
Alıntı ile Cevapla
Alt 14-02-2018 21:23   #7
  • Tamamen Forumdan Uzaklaştırıldı
  • Üye Bilgileri
Üyelik tarihi
06/2013
Nereden
Jüpiter
Mesajlar
Konular

Teşekkür (Etti): 1145
Teşekkür (Aldı): 2470




Eline emeğine sağlık
 Offline  
 
Alıntı ile Cevapla
Alt 24-04-2018 17:51   #8
  • Üsteğmen
  • Üye Bilgileri
Üyelik tarihi
03/2018
Nereden
3333
Mesajlar
Konular

Teşekkür (Etti): 101
Teşekkür (Aldı): 75




birde rom var kalıcı bellek diye onunda imajı varmı? @DeneyimsizDenek



___________________________________________

Bize Biat Etmeyen Potansiyel Düşman Sayılır.

 Offline  
 
Alıntı ile Cevapla
Alt 24-04-2018 18:14   #9
  • Yüzbaşı
  • Üye Bilgileri
Üyelik tarihi
12/2017
Mesajlar
Konular

Teşekkür (Etti): 298
Teşekkür (Aldı): 95




Hocam eline emeğine sağlık en azından mantığını anladım.
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau