anonuser23532
Kıdemli Üye
- 9 Ara 2017
- 2,602
- 12
Bellek Dökümü : Normalde bir uygulama veya sistem çökmesi durumunda bellek içeriğinin görüntülendiği ve saklandığı bir işlemdir. Fakat biz bu derste sistem çökmesi durumunda değil de malware analysis için kullanacağız..
: Kullanılan Programlar :
Memory Dumper / DumpIt
Analyzer / Volatility
BELLEK DÖKÜMÜ OLUŞTURALIM // DumpIt
Öncelikle bu linkten programımızı indirelim.
https://qpdownload.com/dumpit/
Fakat arkadaşlar indirme yönergelerine dikkat edin bilgisayara yandex , avast , mcafee kurulabilir..
DumpIt bilgisayarımıza indikten sonra
Programı iki tıklayarak açalım.
Evet arkadaşlar programı açtığımız vakit karşımıza çıkan ekran budur.
Ne anlatıyor bu ekran diyecek olursanız hemen söyleyeyim ; Destination bildiğiniz üzere varış yerini yani kaydedilecek yeri bize gösteriyor.
Ve daha sonrasında bize devam etmek istediğinizden emin misiniz sorusunu yöneltiyor.
Biraz üste bakacak olursak bize harddiskimizde boş alan ve kendisi için gereken alanı söylüyor.
Address Space Size : Oluşturulacak imajın boyutu
Free Space Size : Diskimizde bulunan boş alan
Biz bu devam etmek istediğinizden emin misiniz sorusuna y 'yi tuşlayarak devam ediyoruz.
y ' yi tuşladığımız zaman Processing.. yazısı geliyor.
Ve yukarda belirtilen destination kısmına bakarsanız göreceksiniz ki oraya bir image oluşmuş.
Arkadaşlar normal olarak bir resim değil açmaya çalışmayın.
Success yazısı geldi.
Bu da demek oluyor ki döküm oluşturma işlemi bitti )
Oluşan dosyanın boyutuna bir bakalım.
9.24 GB )
BELLEK DÖKÜMÜ ANALİZ EDELİM // Volatility
Öncelikle bu linkten programımızı indirelim.
https://www.volatilityfoundation.org/26
Evet programımız indikten sonra programımıza iki kere tıklarsak açılmayacaktır.
(Açılacak ama usage hatası verip kapacak.)
Bunun nedeni programın bir console uygulaması olması ve dolayısıyla program parametreler aracılığı ile çalışıyor.
CMD 'yi açalım.
İsterseniz
Windows Tuşu + R > CMD
İsterseniz de
Bulunduğu Dosya konumuna sağ tık > Open in command window in here
cmd açıldıktan sonra şunu yazalım :
Kod:
volatility.exe -h
(Ben programın ismi çok uzun diye volatility diye değiştirdim.)
evet options ayarlarını görüyoruz.
Bu kısımda programın desteklediği plugin komutlarını görüyoruz.
Asıl işimize yarayacak olan kısım burasıdır.
Sadece Bazılarını anlatacak olursam :
apihooks : Program hangi windows apilerine erişmiş ?
clipboard : Windows Clipboard'ını extract eder.
cmdscan : Cmd komut geçmişini extract eder.
connections : Açık bağlantıları listeler.
devicetree : Bağlı olan aygıtları listeler.
impscan : Çağrılan fonksiyonları tarar.
modules : Yüklenen modülleri listeler.
MALFİND : Gizli ve enjekte edilen kodu bulur.
procdump : Çalışan işlemi yürütülebilir bir dosya örneği şekline getirir.
pslist : Çalışan uygulamalar listesi yazdırır.
psxview : Gizli olan uygulamaları da yazdırır.
servicediff : Windows servislerini yazdırır.
screenshot : Windows'un baselediği ekran görüntülerini kaydeder.
sockets : Açık soketleri listeler
sockscan : TCP soket listeleri için havuz tarayıcıya aktarır.
yarascan : Çalışan bir işlemi yara signatürleri ile tarar.