İçindekiler;
- Başlama
- Kullanılan Programlar
-Program Tanıtımı
- Soruların Çözümü
- Son
- Başlama
- Kullanılan Programlar
-Program Tanıtımı
- Soruların Çözümü
- Son
Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "Brave" adlı labın ram imajını inceleyip, çözümünü gerçekleştireceğiz.
CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki PCAP dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).
Kullanılan Programlar:
Volatility 3 — Volatility 3 2.0.1 documentation
Tanıyalım;
Volatility, Python ile yazılmış açık kaynak kodlu bir memory forensics framework çatısıdır. Volatility, 32 ve 64 bit Windows, Linux, OSX, Android platformlarının memory dump (bellek dökümü) dosyalarını analiz edebilir. Windows, Linux, OSX platformlarında çalışır.
ÖNEMLİ NOT: Volatility kullanımında komutlar tüm platformalarda da aynıdır. Ancak sadece volatility’i başlangıçta çağırma komutları farklılık göstermektedir.
Uyarı : Konuya başlamadan önce cmd üzerinde volatility3 klasörü içerisine işlem kolaylığı açısından mem dosyasını attım ve işlem yaptığım dosyanın adı abc olarak değiştirdim yani, abc.mem. Windows'ta python, python3 yerine py komutunu kullanmayı unutmayın.
1. What time was the RAM image acquired according to the suspect system? (YYYY-MM-DD HH:MM:SS)
İlk sorumuzda şüpheli sisteme göre RAM görüntüsü ne kadar süre elde edildi diyor. Bunun için py vol.py -f abc.mem windows.info yazdım komut istemine cevabım; 2021-04-30 17:52:19
RAM dosyasının SHA256 cinsinden dosya hash kodunu soruyor. Bunun için PowerShell'i yönetici olarak çalıştırdım ve şu kodu yazdım; Get-FileHash C:\Users\user\Desktop\volatility3-develop\abc.mem cevabım; 9DB01B1E7B19A3B2113BFB65E860FFFD7A1630BDF2B18613D206EBF2AA0EA172
brave.exe adlı nesnenin görev yöneticisinde yer alan ID kodunu istiyor bunun için cmd ekranıma py vol.py -f abc.mem windows.info yazdım ve gelen sonuçlar içerisinde "brave.exe" adlı nesneyi buldum cevabım; 4856
Alım sırasında kaç tane yerleşik ağ bağlantısı vardı sayı olarak soruyor. Hani normal bilgisayar ekranında netstat -an yazıyoruz ya aynı onun gibi. Cmd ekranına py vol.py -f abc.mem windows.netscan yazınca ESTAIBLED ibarelerini sayıyorum ve cevabım 10.
Chrome hangi FQDN ile yerleşik bir ağ bağlantısına sahip diyor bunu için cmd ekranı içerisinde gezerken ESTAIBLED bağlantısı(görselde seçili alan) dikkatimi çekti ve ben de google'ye yazdım. Google'da yer alan sonuçlar bunun protonmail.ch olduğuna dair kanıtıydı.
ID'si 6988 olan uygulamanın MD5 cinsinden dosya hash kodunu istiyor. Bunun için cmd ekranıma py vol.py -f abc.mem windows.pslist --pid 6988 --dump yazdım ve klasör yoluma dosya çıktısı aldım. Şimdi PwerShell kullanarak hash kodumu alacağım yazdığım kod; Get-FileHash C:\Users\user\Desktop\volatility3-develop\pid.6988.0x1c0000.dmp -Algorithm MD5 | Format-List cevabım; 0B493D8E26F03CCD2060E0BE85F430AF
8. What is the creation date and time of the parent process of "powershell.exe"? (YYYY-MM-DD HH:MM:SS)
PowerShell'in oluşturulma tarihini soruyor saatinden saniyesine kadar. Bunun için cmd ekranıma py vol.py -f abc.mem windows.pslist yazdım ve gelen sonuçlar arasında powershell.exe ibaresini aradım. Bulunca hemen sorudaki kast edileni aradım. Cevabım; 2021-04-30 17:51:19
Açılan son not defterinin dosya yolunu soruyor. Bunun için cbd ekranıma py vol.py -f abc.mem windows.cmdline kodunu girdim ve gelen soruçlar arasında soruda kast edilen yeri aradım. Cevabım; C:\Users\JOHNDO~1\AppData\Local\Temp\7zO4FB31F24\accountNum
Brave browser'i ne kadar kullandı diyor sanırım. Bunun için cmd ekranıma py vol.py -f abc.mem windows.registry.userassist yazdım ve gelen kayıt defteri sonuçlarında zaman kaybetmemek için hepsini seçip kopyaladım ve not defterine döktüm. Daha sonra sorumun cevabını bulmak için Ctrl + F kısayolonu kullanarak Brave ögesini aradım ve ilk seçenek cevabımı bulmama yetti; 04:01:54.
- SON -
Son düzenleme:
