Volatility Nedir? Yaygın Kullanılan Komutları Nelerdir? #2

[AseNa’]

Herkese Merhaba!
Bugün, tanımını ve yaygın olan 4 komutunu açıkladığım Volatility konumun diğer komutlarının da kullanımını ve işlevlerini göreceğiz.
Totalde 50'den fazla komut mevcut fakat hepsini yazsam sıkılıp yarısında bırakılacağını düşündüğüm için bugün de 20 tanesini açıklayacağım.
Şimdiden kolay gelsin, keyifli okumalar.


(Serinin ilk konusu okumak için tıklayın.)

Konuya başlamadan önce, bir bilgi daha ekleyim:

işaretlediğim yerde, siz herhangi bir komutu çalıştırdığınızda o komutun ne işe yaradığını yani açıklamasını verecektir.

windows.bigpools.BigPools
Komutun bize vereceği sonuç,
büyük bellek havuzlarını yöneten bir yapının listesidir.

windows.cachedump.Cachedump
Komutun bize vereceği sonuç,
sistem belleği ve önbellek içeriğinin analiz listesidir.

windows.callbads.Callbacks
Komutun bize vereceği sonuç,
sistemde bozuk veya hatalı dosyaların belirlendiğinin listesidir.

windows.crashinfo.Crashinfo
Komutun bize vereceği sonuç,
Olası bi çökme bilgisinin listesidir.

windows.dllist.DlList
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde yüklenen modüllerin listesidir.

windows.driverirp.DriverIrp
Komutun bize vereceği sonuç,
Seçilmiş Windows bellek görüntüsündeki sürücüler için olan IRP'lerin listesidir.

(IRP: giriş-çıkış işlemi için işletim sistemi çekirdeği tarafından kullanılan bir veri yapısı anlamına gelmektedir.)

windows.drivermodule.DriverModule
Komutun bize vereceği sonuç,
İndirilen sürücülerin içinden herhangi birinin bir rootkit tarafından gizlenip gizlenmediğinin göründüğü listedir.

(Rootkit: Bir bilgisayar sistemine gizlice erişmek ve bu sistemin kontrolünü ele geçirmek için kullanılan kötü niyetli bir yazılımdır.)

windows.driverscan.DriverScan
Komutun bize vereceği sonuç,
Seçili bir Windows bellek görüntüsünde bulunan sürücülerin taranması durumunda son halinin listesidir.

windows.dumpfiles.DumpFiles
Komutun bize vereceği sonuç,
Windows bellekten seçilmiş önbelleğe alınmış dosyaların içerik listesidir.

windows.envars.Envars
Komutun bize vereceği sonuç,
İşlem ortam değişkenlerinin listesidir.

windows.mftscan.ADS
Komutun bize vereceği sonuç,
Alternatif Veri Akışı için yapılan taramaların listesidir.

windows.mftscan.MFTScan
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde bulunan MFT FILE nesnelerinin tarama sonucunun listesidir.

(MFT FILE: sistemdeki her türlü dosya ve dizin için meta veri bilgilerini saklayan bir yapı anlamına gelmektedir.)

windows.modscan.ModScan
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde bulunan modüllerin tarama sonuç listesidir.

windows.modules.Modules
Komutun bize vereceği sonuç,
Yüklenen çekirdek modüllerinin listesidir.

(Çekirdek Modülü: sistemde olan kaynakları yönetmeye ve donanım ile yazılım arasında adeta bir köprü işlevi gören ana bir bileşen anlamına gelmektedir.)

windows.mutantscan.MutantScan
Komutun bize vereceği sonuç,
Windows sisteminde bulunan kötü amaçlı yazılımların veyahut güvenlik açıklarının tespit listesidir.

windows.netstat.NetStat
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde bulunan ağ izleme yapılarındaki dolaşımın listesidir.

windows.poolscanner.PoolScanner
Komutun bize vereceği sonuç,
Windows çekirdeğinin bellek havuzlarının ve belli nesne türlerinin tarama listesidir.

(+ Yönü ise sistemdeki gizlenmiş veyahut silinmiş ögeleri bulmaya yaramaktadır.)

windows.privileges.Privs
Komutun bize vereceği sonuç,
İşlem belirteci ayrıcalıklarının listesidir.

windows.pslist.PsList
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde bulunan işlemlerin listesidir.

windows, virtmap.VirtMap
Komutun bize vereceği sonuç,
Sanal haritalanmış yani belirlenmiş bölümlerin listesidir.

Okuduğunuz için teşekkür eder, iyi forumlar dilerim.​

AseNa'​

 

[an0un]

Elinize sağlık hocam temiz bir anlatım olmuş

 

[Kruvazör]

Selamlar eline sağlık.

windows.mutantscan.MutantScan
komutu hakkında "Windows sisteminde bulunan kötü amaçlı yazılımların veyahut güvenlik açıklarının tespit listesidir."
şeklinde bir açıklama yazmışsınız bu anlatımı biraz daha açabilir misin?
Tam olarak arkada ne dönüyor ne yaparak bu sonucu bize iletiyor?

Kolay gelsin

 

[AseNa’]

Elinize sağlık hocam temiz bir anlatım olmuş

Teşekkür ediyorum

Selamlar eline sağlık.

windows.mutantscan.MutantScan
komutu hakkında "Windows sisteminde bulunan kötü amaçlı yazılımların veyahut güvenlik açıklarının tespit listesidir."
şeklinde bir açıklama yazmışsınız bu anlatımı biraz daha açabilir misin?
Tam olarak arkada ne dönüyor ne yaparak bu sonucu bize iletiyor?

Kolay gelsin

Selamlar hocam, teşekkür ederim..

Yani tarama işlemine başladığında genel ve güncel olan tehditlerle karşılaştırma yaparak sisteminizde gördüğü (eğer varsa) güvenlik açığını size bu tarama sonucunda gösteriyor

 

[Kruvazör]

Teşekkür ediyorum

Selamlar hocam, teşekkür ederim..

Yani tarama işlemine başladığında genel ve güncel olan tehditlerle karşılaştırma yaparak sisteminizde gördüğü (eğer varsa) güvenlik açığını size bu tarama sonucunda gösteriyor

genel ve güncel olan tehditleri nereden çekiyor peki bu konuda bilgi var mı acaba?

Yani bu sistemin işleme prensibi nedir ne tür zararlı yazılımlara karşı bir önlemi var?

 

[AseNa’]

genel ve güncel olan tehditleri nereden çekiyor peki bu konuda bilgi var mı acaba?

Yani bu sistemin işleme prensibi nedir ne tür zararlı yazılımlara karşı bir önlemi var?

Bu konuda detaylı bilgiye sahip olduğumda tarafınıza ileteceğimden şüpheniz olmasın hocam kendi anladığımı olduğu gibi size yazıp en yakın zamanda dönüş sağlayacağım

 

[Ertugrul']

Eline emeğine sağlık. Başarıların daim olsun İnşAllah...

 

[AseNa’]

genel ve güncel olan tehditleri nereden çekiyor peki bu konuda bilgi var mı acaba?

Yani bu sistemin işleme prensibi nedir ne tür zararlı yazılımlara karşı bir önlemi var?

güncelleme:
algıladığı ve önlem aldığı zararlı yazılımlar,
sisteme sızan virüsler
dosyaları hedef alan virüsler
kendi kendine gelin güvey olup yayılan virüsler
ve direkt bilgileri alan zararlı yazılımları tespit ediyor..

Tehditleri çektiği yerler de öğrendiğim kadarıyla temel olarak şöyle,
çeşitli güvenlik araştırmalarının raporları ve güvenlik veri tabanları..
yani buralardan da kötü yazılımları toplayıp çekiyormuş.

Son olarak şöyle söyleyebilirim ki; Tarama işlemine başladığında, bu virüsleri ve bilgileri çektiği yerleri ön planda tutarak işlemini gerçekleştiriyor
bilgisini çektiği bu zararlı yazılımları kendi içinde tanımladığı için sistemdeki (olası) çeşitli zararlı yazılımları da bu sayede kolaylıkla tespit edebiliyor

Eline emeğine sağlık. Başarıların daim olsun İnşAllah...

teşekkür ederim, amiin inşallah

 

[xzh]

eline saglik

 

[Bunjo]

Güzel bir içerik olmuş. Eline sağlık

 

[sametghack]

Eline saglik

 

[AseNa’]

eline saglik

Teşekkür ederim

Güzel bir içerik olmuş. Eline sağlık

Teşekkür ediyorum, beğenmenize sevindim

Eline saglik

Teşekkür ederim

 

[rootkawun]

Herkese Merhaba!
Bugün, tanımını ve yaygın olan 4 komutunu açıkladığım Volatility konumun diğer komutlarının da kullanımını ve işlevlerini göreceğiz.
Totalde 50'den fazla komut mevcut fakat hepsini yazsam sıkılıp yarısında bırakılacağını düşündüğüm için bugün de 20 tanesini açıklayacağım.
Şimdiden kolay gelsin, keyifli okumalar.


(Serinin ilk konusu okumak için tıklayın.)

Konuya başlamadan önce, bir bilgi daha ekleyim:

işaretlediğim yerde, siz herhangi bir komutu çalıştırdığınızda o komutun ne işe yaradığını yani açıklamasını verecektir.

windows.bigpools.BigPools
Komutun bize vereceği sonuç,
büyük bellek havuzlarını yöneten bir yapının listesidir.

windows.cachedump.Cachedump
Komutun bize vereceği sonuç,
sistem belleği ve önbellek içeriğinin analiz listesidir.

windows.callbads.Callbacks
Komutun bize vereceği sonuç,
sistemde bozuk veya hatalı dosyaların belirlendiğinin listesidir.

windows.crashinfo.Crashinfo
Komutun bize vereceği sonuç,
Olası bi çökme bilgisinin listesidir.

windows.dllist.DlList
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde yüklenen modüllerin listesidir.

windows.driverirp.DriverIrp
Komutun bize vereceği sonuç,
Seçilmiş Windows bellek görüntüsündeki sürücüler için olan IRP'lerin listesidir.

(IRP: giriş-çıkış işlemi için işletim sistemi çekirdeği tarafından kullanılan bir veri yapısı anlamına gelmektedir.)

windows.drivermodule.DriverModule
Komutun bize vereceği sonuç,
İndirilen sürücülerin içinden herhangi birinin bir rootkit tarafından gizlenip gizlenmediğinin göründüğü listedir.

(Rootkit: Bir bilgisayar sistemine gizlice erişmek ve bu sistemin kontrolünü ele geçirmek için kullanılan kötü niyetli bir yazılımdır.)

windows.driverscan.DriverScan
Komutun bize vereceği sonuç,
Seçili bir Windows bellek görüntüsünde bulunan sürücülerin taranması durumunda son halinin listesidir.

windows.dumpfiles.DumpFiles
Komutun bize vereceği sonuç,
Windows bellekten seçilmiş önbelleğe alınmış dosyaların içerik listesidir.

windows.envars.Envars
Komutun bize vereceği sonuç,
İşlem ortam değişkenlerinin listesidir.

windows.mftscan.ADS
Komutun bize vereceği sonuç,
Alternatif Veri Akışı için yapılan taramaların listesidir.

windows.mftscan.MFTScan
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde bulunan MFT FILE nesnelerinin tarama sonucunun listesidir.

(MFT FILE: sistemdeki her türlü dosya ve dizin için meta veri bilgilerini saklayan bir yapı anlamına gelmektedir.)

windows.modscan.ModScan
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde bulunan modüllerin tarama sonuç listesidir.

windows.modules.Modules
Komutun bize vereceği sonuç,
Yüklenen çekirdek modüllerinin listesidir.

(Çekirdek Modülü: sistemde olan kaynakları yönetmeye ve donanım ile yazılım arasında adeta bir köprü işlevi gören ana bir bileşen anlamına gelmektedir.)

windows.mutantscan.MutantScan
Komutun bize vereceği sonuç,
Windows sisteminde bulunan kötü amaçlı yazılımların veyahut güvenlik açıklarının tespit listesidir.

windows.netstat.NetStat
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde bulunan ağ izleme yapılarındaki dolaşımın listesidir.

windows.poolscanner.PoolScanner
Komutun bize vereceği sonuç,
Windows çekirdeğinin bellek havuzlarının ve belli nesne türlerinin tarama listesidir.

(+ Yönü ise sistemdeki gizlenmiş veyahut silinmiş ögeleri bulmaya yaramaktadır.)

windows.privileges.Privs
Komutun bize vereceği sonuç,
İşlem belirteci ayrıcalıklarının listesidir.

windows.pslist.PsList
Komutun bize vereceği sonuç,
Seçilmiş bir Windows bellek görüntüsünde bulunan işlemlerin listesidir.

windows, virtmap.VirtMap
Komutun bize vereceği sonuç,
Sanal haritalanmış yani belirlenmiş bölümlerin listesidir.

Okuduğunuz için teşekkür eder, iyi forumlar dilerim.​

AseNa'​

Ellerinize sağlık hocam

 

[AseNa’]

Ellerinize sağlık hocam

Teşekkür ediyorum

 

[DogAnLi]

Ellerinize sağlık soluksuz hepsini okudum

 

[drjacob]

eline sağlık.

 

[AseNa’]

Ellerinize sağlık soluksuz hepsini okudum

Teşekkür ediyorum okumanıza sevindim

eline sağlık.

Teşekkür ederim

 

[Kurt_44]

Eline sağlık hocam güzel bir devam konusu olmuş