İPUCU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

Seçenekler

Volatility ile Adli Bilişimde Ram İmajı İncelemek-2 //oldnco

01-09-2018 15:50
#1
oldnco - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2017
Yaş:
29
Mesajlar:
1.525
Teşekkür (Etti):
636
Teşekkür (Aldı):
370
Konular:
43
Ticaret:
(0) %
Merhaba TURKHACKTEAM Ailesi

Bu yazımda Ram imajı nasıl incelenir size onu anlatacağım. Ram İmajını nasıl alacağınızı bilmiyorsanız "Dumplt ile Adli Bilişimde Ram İmajı Almak -1 //oldnco" Başlıklı konuma giderek öğrenebilirsiniz.

Öncelikle aşağıdaki indirme linklerinden programımızı indiriyoruz. Tüm platformları destekleyen bir program olduğu için isterseniz linux,macos ve windows sürümlerinden işletim sisteminize uygun olanı indirebilirsiniz.





https://www.volatilityfoundation.org/24





Programımız Parrot OS ta kurulu geliyor. Ben bu dağıtım üzerinden anlatacağım.

Parrot OS kurulumu için : Parrot Security OS Nedir, Nasıl Kurulur // 'PALA



İmaj Hakkında Bilgi Toplama

Öncelikle aşağıdaki komutumuzu terminale girerek RAM imajını aldığımız sistemin bilgilerini(imajın alındığı zaman,kullanıcı bilgileri vb.) tespit edelim. BU tespit programın kullanılması içi çok önemli. Buradaki profil bilgilerini komut satırımızda kullanacağımız için ilk önce bu komutu çalıştırmamız gerekmektedir.

volatility programımızın adı
ram.mem benim almış aldığım ram imajının adı.

Kod:
volatility -f ram.mem imageinfo






Çalışmakta olan uygulamaları görüntüleme - pslist

İmage info ile imajımızın bilgilerini tespit ettik. Suggetted Profile başlığının karşısındaki uygun profille işlemlerimize devam ediyoruz. Şimdi ram imajı alınırken bilgisayarda o an çalışan tüm uygulamaların listesini çıkarabildiğimiz " pslist " komutunu göreceğiz. Bu komut ile uygulamaların Offset,PID,PPID,Thds,Sess,Wow64, Başlangıç ve bitiş zamanlarını görebiliyoruz.

Kod:
volatility -f ram.mem --profile=Win8SP1x64 pslist


















Gördüğünüz gibi benim o anki tüm işlemlerin yukarıda listelendi.Listelenen uygulama isimlerinin ne olduğunu googleda aratarak bulabilirsiniz. Örneğin benim sistemimde o anda Discord,İtunes,skype vb işlemlerin çalıştığı görülmektedir.



Ağ Bağlantıları - connections ve connscan
Sistemimizde çalışan TCP bağlantılarını terminalde görüntülemek için

Kod:
volatility -f ram.mem --profile=Win8SP1x64 connections
tüm bağlantılar için volatility -f ram.mem --profile=Win8SP1x64 connscan komutunu yazabilirsiniz

Volatilityde kullanabileceğiniz tüm parametreler

Kod:
root@kali:~# volatility -h
Volatility Foundation Volatility Framework 2.4
Usage: Volatility - A memory forensics analysis platform.

Options:
  -h, --help            list all available options and their default values.
                        Default values may be set in the configuration file
                        (/etc/volatilityrc)
  --conf-file=/root/.volatilityrc
                        User based configuration file
  -d, --debug           Debug volatility
  --plugins=PLUGINS     Additional plugin directories to use (colon separated)
  --info                Print information about all registered objects
  --cache-directory=/root/.cache/volatility
                        Directory where cache files are stored
  --cache               Use caching
  --tz=TZ               Sets the timezone for displaying timestamps
  -f FILENAME, --filename=FILENAME
                        Filename to use when opening an image
  --profile=WinXPSP2x86
                        Name of the profile to load
  -l ********, --********=********
                        A URN ******** from which to load an address space
  -w, --write           Enable write support
  --dtb=DTB             DTB Address
  --shift=SHIFT         Mac KASLR shift address
  --output=text         Output in this format (format support is module
                        specific)
  --output-file=OUTPUT_FILE
                        write output in this file
  -v, --verbose         Verbose information
  -g KDBG, --kdbg=KDBG  Specify a specific KDBG virtual address
  -k KPCR, --kpcr=KPCR  Specify a specific KPCR address

    Supported Plugin Commands:

        apihooks        Detect API hooks in process and kernel memory
        atoms           Print session and window station atom tables
        atomscan        Pool scanner for atom tables
        auditpol        Prints out the Audit Policies from HKLM\SECURITY\Policy\PolAdtEv
        bigpools        Dump the big page pools using BigPagePoolScanner
        bioskbd         Reads the keyboard buffer from Real Mode memory
        cachedump       Dumps cached domain hashes from memory
        callbacks       Print system-wide notification routines
        clipboard       Extract the contents of the windows clipboard
        cmdline         Display process command-line arguments
        cmdscan         Extract command history by scanning for _COMMAND_HISTORY
        connections     Print list of open connections [Windows XP and 2003 Only]
        connscan        Pool scanner for tcp connections
        consoles        Extract command history by scanning for _CONSOLE_INFORMATION
        crashinfo       Dump crash-dump information
        deskscan        Poolscaner for tagDESKTOP (desktops)
        devicetree      Show device tree
        dlldump         Dump DLLs from a process address space
        dlllist         Print list of loaded dlls for each process
        driverirp       Driver IRP hook detection
        driverscan      Pool scanner for driver objects
        dumpcerts       Dump RSA private and public SSL keys
        dumpfiles       Extract memory mapped and cached files
        envars          Display process environment variables
        eventhooks      Print details on windows event hooks
        evtlogs         Extract Windows Event Logs (XP/2003 only)
        filescan        Pool scanner for file objects
        gahti           Dump the USER handle type information
        gditimers       Print installed GDI timers and callbacks
        gdt             Display Global Descriptor Table
        getservicesids  Get the names of services in the Registry and return Calculated SID
        getsids         Print the SIDs owning each process
        handles         Print list of open handles for each process
        hashdump        Dumps passwords hashes (LM/NTLM) from memory
        hibinfo         Dump hibernation file information
        hivedump        Prints out a hive
        hivelist        Print list of registry hives.
        hivescan        Pool scanner for registry hives
        hpakextract     Extract physical memory from an HPAK file
        hpakinfo        Info on an HPAK file
        idt             Display Interrupt Descriptor Table
        iehistory       Reconstruct Internet Explorer cache / history
        imagecopy       Copies a physical address space out as a raw DD image
        imageinfo       Identify information for the image
        impscan         Scan for calls to imported functions
        joblinks        Print process job link information
        kdbgscan        Search for and dump potential KDBG values
        kpcrscan        Search for and dump potential KPCR values
        ldrmodules      Detect unlinked DLLs
        lsadump         Dump (decrypted) LSA secrets from the registry
        machoinfo       Dump Mach-O file format information
        malfind         Find hidden and injected code
        mbrparser       Scans for and parses potential Master Boot Records (MBRs)
        memdump         Dump the addressable memory for a process
        memmap          Print the memory map
        messagehooks    List desktop and thread window message hooks
        mftparser       Scans for and parses potential MFT entries
        moddump         Dump a kernel driver to an executable file sample
        modscan         Pool scanner for kernel modules
        modules         Print list of loaded modules
        multiscan       Scan for various objects at once
        mutantscan      Pool scanner for mutex objects
        notepad         List currently displayed notepad text
        objtypescan     Scan for Windows object type objects
        patcher         Patches memory based on page scans
        poolpeek        Configurable pool scanner plugin
        printkey        Print a registry key, and its subkeys and values
        privs           Display process privileges
        procdump        Dump a process to an executable file sample
        pslist          Print all running processes by following the EPROCESS lists
        psscan          Pool scanner for process objects
        pstree          Print process list as a tree
        psxview         Find hidden processes with various process listings
        raw2dmp         Converts a physical memory sample to a windbg crash dump
        screenshot      Save a pseudo-screenshot based on GDI windows
        sessions        List details on _MM_SESSION_SPACE (user logon sessions)
        shellbags       Prints ShellBags info
        shimcache       Parses the Application Compatibility Shim Cache registry key
        sockets         Print list of open sockets
        sockscan        Pool scanner for tcp socket objects
        ssdt            Display SSDT entries
        strings         Match physical offsets to virtual addresses (may take a while, VERY verbose)
        svcscan         Scan for Windows services
        symlinkscan     Pool scanner for symlink objects
        thrdscan        Pool scanner for thread objects
        threads         Investigate _ETHREAD and _KTHREADs
        timeliner       Creates a timeline from various artifacts in memory
        timers          Print kernel timers and associated module DPCs
        truecryptmaster Recover TrueCrypt 7.1a Master Keys
        truecryptpassphrase TrueCrypt Cached Passprhase Finder
        truecryptsummary    TrueCrypt Summary
        unloadedmodules Print list of unloaded modules
        userassist      Print userassist registry keys and information
        userhandles     Dump the USER handle tables
        vaddump         Dumps out the vad sections to a file
        vadinfo         Dump the VAD info
        vadtree         Walk the VAD tree and display in tree format
        vadwalk         Walk the VAD tree
        vboxinfo        Dump virtualbox information
        verinfo         Prints out the version information from PE images
        vmwareinfo      Dump VMware VMSS/VMSN information
        volshell        Shell in the memory image
        windows         Print Desktop Windows (verbose details)
        wintree         Print Z-Order Desktop Windows Tree
        wndscan         Pool scanner for window stations
        yarascan        Scan process or kernel memory with Yara signatures
Yukarıdaki kodların bir çoğunun sonuçlarını aşağıda vermiş olduğum bağlantı ve DeneyimsizDenek komutanımın hazırladığı konuda bulabilirsiniz.

Adli Bilişimde Ram İmajı Almak ve Ram Analizi

Hafıza Analiz Aracı




Adli Bilişim Kategorindeki Diğer Konularım:

İddialı Bir Adli Bilişim Yazılımı: “Forensic Explorer” //oldnco
Forensic Encase ile Veri Kurtarma //oldnco
Telefon ve Sim Kartlarına Adli İnceleme
Bilirkişi Nedir? Ne iş yapar? / oldnco
Linux'ta Adli İmaj Alma //oldnco
Şifreleri Çözün! Passware Kit Kullanımı /oldnco
Harddiskinizi Parçalamaya Mecbur Değilsiniz //oldnco
Silinen Verilerinizi Kurtarın! //oldnco
Dumplt ile Adli Bilişimde Ram İmajı Almak -1 //oldnco
XQ1, 'blackcoder Teşekkür etti.

01-09-2018 15:54
#2
R4V3N - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2016
Nereden:
Antalya
Yaş:
21
Mesajlar:
5.809
Teşekkür (Etti):
681
Teşekkür (Aldı):
1992
Konular:
318
Ticaret:
(0) %
Emeğine sağlık oldnco
01-09-2018 16:17
#3
Üyelik tarihi:
03/2017
Nereden:
Hızır(a.s)
Mesajlar:
1.033
Teşekkür (Etti):
91
Teşekkür (Aldı):
145
Konular:
201
Ticaret:
(0) %
Güzel konu es+1
01-09-2018 16:29
#4
Tegin - ait Kullanıcı Resmi (Avatar)
Asistan & Moderatör Sorumlusu
Üyelik tarihi:
03/2018
Mesajlar:
11.234
Konular:
112
Ticaret:
(0) %
Elinize sağlık
01-09-2018 20:00
#5
XQ1 - ait Kullanıcı Resmi (Avatar)
XQ1
Üye
Üyelik tarihi:
03/2018
Mesajlar:
409
Teşekkür (Etti):
270
Teşekkür (Aldı):
119
Konular:
68
Ticaret:
(0) %
Emeğine sağlık oldnco
Kullanıcı İmzası
Aşksız ve paramparçaydı yaşam
Bir inancın yüceliğinde buldum seni
Bir kavganın güzelliğinde sevdim
Bitmedi daha sürüyor o kavga ve sürecek
Yeryüzü aşkın yüzü oluncaya dek!

ergenüs.club

01-09-2018 20:36
#6
Ammas - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
05/2018
Mesajlar:
262
Teşekkür (Etti):
70
Teşekkür (Aldı):
27
Konular:
36
Ticaret:
(0) %
BOOMBAAAA. eline sağlık bumbastik bir konu
02-09-2018 00:42
#7
Üyelik tarihi:
03/2017
Mesajlar:
2.945
Teşekkür (Etti):
201
Teşekkür (Aldı):
914
Konular:
86
Ticaret:
(0) %
Emeğine Sağlık
Kullanıcı İmzası
Oğlum bence de dünya batsın, artık dönmeyi falan bıraksın
M3m0ry Teşekkür etti.
02-09-2018 00:42
#8
Bykurabiye - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
Tanrı Dağı
Yaş:
15
Mesajlar:
2.506
Teşekkür (Etti):
343
Teşekkür (Aldı):
259
Konular:
153
Ticaret:
(0) %
Eline sağlık.
02-09-2018 15:17
#9
oldnco - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2017
Yaş:
29
Mesajlar:
1.525
Teşekkür (Etti):
636
Teşekkür (Aldı):
370
Konular:
43
Ticaret:
(0) %
Alıntı:
muhammedse02´isimli üyeden Alıntı Mesajı göster
Güzel konu es+1
Alıntı:
'PALA´isimli üyeden Alıntı Mesajı göster
Elinize sağlık
Alıntı:
XQ1´isimli üyeden Alıntı Mesajı göster
Emeğine sağlık oldnco
Alıntı:
Ammas´isimli üyeden Alıntı Mesajı göster
BOOMBAAAA. eline sağlık bumbastik bir konu
Alıntı:
R4V3N´isimli üyeden Alıntı Mesajı göster
Emeğine sağlık oldnco
Alıntı:
THE HACKER 21´isimli üyeden Alıntı Mesajı göster
Emeğine Sağlık
Alıntı:
Bykurabiye´isimli üyeden Alıntı Mesajı göster
Eline sağlık.
Teşekkür ederim.
02-09-2018 15:26
#10
Slyfer - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2016
Nereden:
Unknown
Mesajlar:
1.591
Teşekkür (Etti):
18
Teşekkür (Aldı):
169
Konular:
32
Ticaret:
(0) %
Elinize sağlık, yeni gördüm
Kullanıcı İmzası

i want to sleep f o r e v e r

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı