Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Genel Güvenlik > Adli Bilişim

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.





Adli Bilişim İncelemelerinde Volatility İle RAM İmajı İncelemesi

Adli Bilişim

Yeni Konu aç Cevapla
 
Seçenekler
Alt 3 Hafta önce   #1
  • Underground Tim
  • Üye Bilgileri
Üyelik tarihi
04/2019
Mesajlar
Konular

Teşekkür (Etti): 9
Teşekkür (Aldı): 68


Exclamation Adli Bilişim İncelemelerinde Volatility İle RAM İmajı İncelemesi



Herkese merhaba tekrardan. Adli bilişim incelemerinde ram imajı inceleme konusunu bir kaç arkadaşımız yazmış, ben bu konuları yetersiz gördüğüm için bu yazıyı detaylıca bir açmak istedim. Önceden yazmış olduğum geniş çaplı bir ram analizi yazım var onu sizinle paylaşmak istiyorum. Keyifli okumalar.


Ram İmajı Almak Neden Önemli?

Ram, bir bilgisayarın bilgileri geçici olarak sakladığı hafıza birimidir. Bilgisayarın o anki çalıştırdı procesler, dökümanlar, bağlı olduğu network, tarayıcı geçmişine kadar bütün bu bilgiler elde edilebilir. Ram imajı Adli Bilişim incelemelerinde önemli bir konuma sahip olduğu için inceleme ile elde edilecek veriler olayın aydınlatılmasında oldukça işe yarayan bir konuma sahiptir. İşte bu yazıda alınan bir ram imajının incelemesinin nasıl olduğunu Volatility aracını kullanarak göreceğiz. Volatility 32/64 bit sistemler RAM analizi için en iyi açık kaynak kodlu programlardan birisidir.
Volatility , Windows, OS X ve Linux sistemler üzerinde çalışabilmektedir.
Volatility’i https://www.volatilityfoundation.org/26 adresinden indirebilirsiniz. Kali Linux üzerinde kurulu olarak gelmekte, diğer dağıtımlar için yukarıdaki link üzerinden indirip kurabilirsiniz .
Volatility kullanarak analiz yapmak için öncelikle Volatility’ye imajı hangi işletim sisteminden (Windows XP, Vista vb.) geldiğini söyleyecek bir profil belirlememiz gerekiyor. Elimizde bir imaj var ama hangi işletim sistemine ait olduğunu bilmiyorsak bunu bulmak için imageinfo komutunu kullanarak hangi işletim sistemine ait olduğunu bulup işlemlerimize buradan devam edebiliriz.

İmaj Bilgisini Elde Etme



Yukarıdaki ekran görüntüsünde Volatility bizim için belli profiller önerdiğini görüyoruz burada imaja ait , imajın alındığı tarih, saat gibi bilgiler mevcuttur. Önerilen profillerden birisini alalım ve devam edelim WinXPSP2x86 ile devam edeceğim.

Çalışan Prosesleri Görüntüleme -pslist

Şimdi burada pslist komutu belirli bi sistemde çalışan bütün işlemleri görüntüleme seçeneği sunar. Buradaki ekran görüntüsünde o an çalışan tüm işlemlerin net bir görüntüsü görebiliriz. Burada çalışan işlemlerin PID değerlerini ve başlatılma zamanları gibi değerlerini görebiliriz. Buradaki işlemlerin hangi programlara ait olduğunu Google’da aratarak öğrenebilirsiniz.



Zararlı Yazılım Analizi -psscan

Bu komut genellikle Zararlı Yazılım analizi ve kök dizin işlemleri taramak için kullanılır. Bir rootkit/malware ile etkin olmayan, gizli ve bağlantısız işlemleri araştırır kullanımı ise şöyledir.



Çalışan DLL’leri Listelemek -dlllist

Çalışmakta olan tüm işlemlerin veya belirli bir işlemin DLL’lerini görüntülemek için bu komutu kullanıırız.



Belirli bir işlemin DLL’lerini listelemek için buradaki PID numarası 1468 olan explorer.exe’nin DLL’lerini listelediğimizi varsayalım.



CMD Ekranına Yazılan Komutları Listeleme -cmdscan

Kullanıcının bilgisayarı açıkken cmd ekranına yazmış olduğu tüm komutları cmdscan komut ile görebiliriz. Örneğin kişi silme, dosya oluşturma, başka dizinlere erişme ya da herhangi bir işlemi komut satırında yapmış ise bunlara erişebiliriz.



Burada görüldüğü gibi önce ipconfig komutu çalıştırılarak bilgisayarın ip,mac gibi adreslerine bakılmış daha sonra masaüstüne geçilip sibertalimhane adlı bir klasör oluşturulduğu görülüyor.

Notepad İşlemlerini Görme -notepad

Burada kullanıcı notepad’te ne yazdıysa imajı incelerden bütün hepsini görebiliriz.



İnternet Geçmişini Listeleme -iehistory

Komut burada kullanıcın bütün geçmişini listeler, hangi saatte hangi siteye girmiş bütün hepsi öğrenilebilir.





Aktif ve Sonlandırılmış Bağlantıları Listeleme -connscan

Connscan komutu, aktif bağlantıları ve sonlandırılmış olabilecek bağlantıları bulmamıza yardımcı olur.



TCP-UDP Bağlantılarını listeleme -sockets
Bu komut, bellek dökümü sırasında, dinleme soketi bağlantılarını bulmamıza yardımcı olur. Bunlar TCP ve UDP bağlantılarını içerir



Kayıt Defteri Ofsetleri Bulma – hivescan

Bu komut, kayıt defteri ofsetlerinin fiziksel adreslerini bellekte bulmamıza yardımcı olur.



-Hivelist

Az önce yukarıda bulduğumuz fiziksel adresleri şimdi bu komutla listeleyip aradığımız ofseti fiziksel adresinden bulabilir.



Sistemde Çalışan Hizmetleri Listeleme -svcscan

Bu komut, sistemde çalışan bütün hizmetlerin listesini bize verir.



Evet arkadaşlar benim yazacaklarım bu kadardı biraz olsun yardımcı olabildiysem ne mutlu bana yazılar, ekran görüntüleri hepsi bana aittir. Herhangi bir sorunuz ya da konuda bir sıkıntı varsa söylerseniz seve seve düzeltmeye çalışırım. Buraya kadar okuyan herkese çok teşekkür ederim. İyi forumlar.



___________________________________________

Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau