İçindekiler;
- Başlama
- Kullanılan Programlar
-Program Tanıtımı
- Soruların Çözümü
- Son
- Başlama
- Kullanılan Programlar
-Program Tanıtımı
- Soruların Çözümü
- Son
Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "Brave" adlı labın ram imajını inceleyip, çözümünü gerçekleştireceğiz.
CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki PCAP dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).
Kullanılan Programlar:
Volatility 3 — Volatility 3 2.0.1 documentation
volatility3.readthedocs.io
Tanıyalım;
Volatility, Python ile yazılmış açık kaynak kodlu bir memory forensics framework çatısıdır. Volatility, 32 ve 64 bit Windows, Linux, OSX, Android platformlarının memory dump (bellek dökümü) dosyalarını analiz edebilir. Windows, Linux, OSX platformlarında çalışır.
ÖNEMLİ NOT: Volatility kullanımında komutlar tüm platformalarda da aynıdır. Ancak sadece volatility’i başlangıçta çağırma komutları farklılık göstermektedir.
Uyarı : Konuya başlamadan önce cmd üzerinde volatility3 klasörü içerisine işlem kolaylığı açısından mem dosyasını attım ve işlem yaptığım dosyanın adı abc olarak değiştirdim yani, abc.mem. Windows'ta python, python3 yerine py komutunu kullanmayı unutmayın.
1. What time was the RAM image acquired according to the suspect system? (YYYY-MM-DD HH:MM:SS)
İlk sorumuzda şüpheli sisteme göre RAM görüntüsü ne kadar süre elde edildi diyor. Bunun için py vol.py -f abc.mem windows.info yazdım komut istemine cevabım; 2021-04-30 17:52:19
2. What is the SHA256 hash value of the RAM image?
RAM dosyasının SHA256 cinsinden dosya hash kodunu soruyor. Bunun için PowerShell'i yönetici olarak çalıştırdım ve şu kodu yazdım; Get-FileHash C:\Users\user\Desktop\volatility3-develop\abc.mem cevabım; 9DB01B1E7B19A3B2113BFB65E860FFFD7A1630BDF2B18613D206EBF2AA0EA172
3. What is the process ID of "brave.exe"?
brave.exe adlı nesnenin görev yöneticisinde yer alan ID kodunu istiyor bunun için cmd ekranıma py vol.py -f abc.mem windows.info yazdım ve gelen sonuçlar içerisinde "brave.exe" adlı nesneyi buldum cevabım; 4856
4. How many established network connections were there at the time of acquisition? (number)
Alım sırasında kaç tane yerleşik ağ bağlantısı vardı sayı olarak soruyor. Hani normal bilgisayar ekranında netstat -an yazıyoruz ya aynı onun gibi. Cmd ekranına py vol.py -f abc.mem windows.netscan yazınca ESTAIBLED ibarelerini sayıyorum ve cevabım 10.
5. What FQDN does Chrome have an established network connection with?
Chrome hangi FQDN ile yerleşik bir ağ bağlantısına sahip diyor bunu için cmd ekranı içerisinde gezerken ESTAIBLED bağlantısı(görselde seçili alan) dikkatimi çekti ve ben de google'ye yazdım. Google'da yer alan sonuçlar bunun protonmail.ch olduğuna dair kanıtıydı.
6. What is the MD5 hash value of process memory for PID 6988?
ID'si 6988 olan uygulamanın MD5 cinsinden dosya hash kodunu istiyor. Bunun için cmd ekranıma py vol.py -f abc.mem windows.pslist --pid 6988 --dump yazdım ve klasör yoluma dosya çıktısı aldım. Şimdi PwerShell kullanarak hash kodumu alacağım yazdığım kod; Get-FileHash C:\Users\user\Desktop\volatility3-develop\pid.6988.0x1c0000.dmp -Algorithm MD5 | Format-List cevabım; 0B493D8E26F03CCD2060E0BE85F430AF
8. What is the creation date and time of the parent process of "powershell.exe"? (YYYY-MM-DD HH:MM:SS)
PowerShell'in oluşturulma tarihini soruyor saatinden saniyesine kadar. Bunun için cmd ekranıma py vol.py -f abc.mem windows.pslist yazdım ve gelen sonuçlar arasında powershell.exe ibaresini aradım. Bulunca hemen sorudaki kast edileni aradım. Cevabım; 2021-04-30 17:51:19
9. What is the full path and name of the last file opened in notepad?
Açılan son not defterinin dosya yolunu soruyor. Bunun için cbd ekranıma py vol.py -f abc.mem windows.cmdline kodunu girdim ve gelen soruçlar arasında soruda kast edilen yeri aradım. Cevabım; C:\Users\JOHNDO~1\AppData\Local\Temp\7zO4FB31F24\accountNum
10. How long did the suspect use Brave browser? (hh:mm:ss)
Brave browser'i ne kadar kullandı diyor sanırım. Bunun için cmd ekranıma py vol.py -f abc.mem windows.registry.userassist yazdım ve gelen kayıt defteri sonuçlarında zaman kaybetmemek için hepsini seçip kopyaladım ve not defterine döktüm. Daha sonra sorumun cevabını bulmak için Ctrl + F kısayolonu kullanarak Brave ögesini aradım ve ilk seçenek cevabımı bulmama yetti; 04:01:54.
Dil takımından @Beklenmeyen Misafir ve @GhostWins 'e teşekkürler
- SON -
Son düzenleme: