THT Anti VAD Memory Forensics Aracı & Core

Doctor Memotaz · 14 May 2026

Merhabalar.

" Konuyu Okurken Dinlemelik Bir Parça Bırakıyorum < "

68747470733a2f2f692e68697a6c69726573696d2e636f6d2f317930697131372e706e67

Proje Hakkında:

Projenin temel amacı windows da çalışan uygulamaların bellek üzerindeki izlerini kesin olarak gizleyerek olası bir analiz ve tersine mühendislik çalışmalarında kalkan oluşturmak ve hedef saptırmakdır. Güncel olarak sektörde kullanılan opensource titanhide, kernelmapper gibi araçların hem artık reverse edilebilirliği, birinin x64dbg üzerinden birinin pte üstünden çalışması gibi temel işi tek araçla yapamayışımız; birden çok aracı çorba etmek zorunda kalışımız, premium uygulamaların fahiş fiyatlandırmaları ve ülkemizde bu konu ile ilgili geliştirilmiş core seviyesinde hem bir aracın hemde kütüphanenin olmayışından dolayı open source olarak turkhackteam için geliştirilmiş ve paylaşılmıştır.

Bağlantılar:

> Github

> Adli Bilişim - Windows VAD ( Virtual Address Descriptor ) Nedir ?

PoC:

68747470733a2f2f692e68697a6c69726573696d2e636f6d2f6c67706a6332762e706e67

68747470733a2f2f692e68697a6c69726573696d2e636f6d2f726b787a3162722e706e67

Teknik detaylar ve developer arkadaşlar için geliştirme ortamı hakkında bilgiler github readme alanının en altında paylaşılmıştır.

Örnek Seneryo:

Steam, Discord, Chrome Brave, Opera vs. fark etmez; üzerinden bir mesaj yazdık bir yerlere, işimiz bitti kapattık aradan 1 hafta geçti, 1 ay geçti, bir sabah sabah kapı çaldı hop aras kargo geldi bilgisayarı götürdü

Sayın bilir kişi (ler) bilgisayara hiç güç vermeden komple imajını aldı sonra incelemeye başladı. Basic yöntemler ile çözüm bulamayınca daha deep level forensic işlemlerine başladılar sonra vad akıllara geldi hiberfil.sys den ntapi ye kadar bütün ağacı dökümlediler sonra bir baktık ki bizim çok güvendiğimiz telegram olsun, vm içinde açtığımız vm olsun, vpn falan filan bir bakmışız ki sadece dijital ayak izimizi saklamaya çalışmış... Anlatabileceğim en basit şekilde böyle anlatabilirim olayı yazarak bitmez bu iş inanın.

Dipnot.: Bu tarz dertleriniz olmaması için live boot çalışan usb oS 'lar kullanabilir veya işiniz bitince hdd - ssd yi mikrodalgada ısıtabilir, ramleri statikleyebilirsiniz.
Acil durumlarda ana windows üzerinden bir şeyler yapmak zorunda kalırsak diye bu proje yaratılmıştır.

İyi Forumlar Dilerim.

zeroero · 14 May 2026

Doctor Memotaz' Alıntı:
Merhabalar.

" Konuyu Okurken Dinlemelik Bir Parça Bırakıyorum < "

Proje Hakkında:

Projenin temel amacı windows da çalışan uygulamaların bellek üzerindeki izlerini kesin olarak gizleyerek olası bir analiz ve tersine mühendislik çalışmalarında kalkan oluşturmak ve hedef saptırmakdır. Güncel olarak sektörde kullanılan opensource titanhide, kernelmapper gibi araçların hem artık reverse edilebilirliği, birinin x64dbg üzerinden birinin pte üstünden çalışması gibi temel işi tek araçla yapamayışımız; birden çok aracı çorba etmek zorunda kalışımız, premium uygulamaların fahiş fiyatlandırmaları ve ülkemizde bu konu ile ilgili geliştirilmiş core seviyesinde hem bir aracın hemde kütüphanenin olmayışından dolayı open source olarak turkhackteam için geliştirilmiş ve paylaşılmıştır.

Bağlantılar:

> Github

> Adli Bilişim - Windows VAD ( Virtual Address Descriptor ) Nedir ?

PoC:

Teknik detaylar ve developer arkadaşlar için geliştirme ortamı hakkında bilgiler github readme alanının en altında paylaşılmıştır.

Örnek Seneryo:

Steam, Discord, Chrome Brave, Opera vs. fark etmez; üzerinden bir mesaj yazdık bir yerlere, işimiz bitti kapattık aradan 1 hafta geçti, 1 ay geçti, bir sabah sabah kapı çaldı hop aras kargo geldi bilgisayarı götürdü Sayın bilir kişi (ler) bilgisayara hiç güç vermeden komple imajını aldı sonra incelemeye başladı. Basic yöntemler ile çözüm bulamayınca daha deep level forensic işlemlerine başladılar sonra vad akıllara geldi hiberfil.sys den ntapi ye kadar bütün ağacı dökümlediler sonra bir baktık ki bizim çok güvendiğimiz telegram olsun, vm içinde açtığımız vm olsun, vpn falan filan bir bakmışız ki sadece dijital ayak izimizi saklamaya çalışmış... Anlatabileceğim en basit şekilde böyle anlatabilirim olayı yazarak bitmez bu iş inanın.

Dipnot.: Bu tarz dertleriniz olmaması için live boot çalışan usb oS 'lar kullanabilir veya işiniz bitince hdd - ssd yi mikrodalgada ısıtabilir, ramleri statikleyebilirsiniz.
Acil durumlarda ana windows üzerinden bir şeyler yapmak zorunda kalırsak diye bu proje yaratılmıştır.

İyi Forumlar Dilerim.

Peki hocam, derin analizerde kullanılan ram marka vs tespit edilebilir mi?
Edilebilir ise bu tür derin senaryolarda kullanılan donanımın baskın öncesi değiştirildiği de ortaya çıkar bu da doğru mu? Peki ya cihazın yalancı boş backup'unu alsak ve aynı marka model ram, ssd, gpu gibi bileşenler barındırsak ve değiştirsek bu da tespit edilebilir mi? Zanlımca her donanıma atanan hususî id'den yine tespit edilebilir değil mi? Şahsen baskın gibi durumlarda delilleri yok etmek yine de şüpheli durumumuzu artıracaktır.
Bunca derinlemesine sorduğum için kusuruma bakmayasın. Forumda bu sektörde başka adam yok.

aga67 · 14 May 2026

hocam kodu inceledim, ne yapmaya calistiginizi anladim fakat bu proje yapmaya calistiginiz seyi yapmiyor. bunun bir ai ciktisi oldugunu varsayarak konusuyorum ki ai epey sacmalamis. vad entry'lerine user mode uzerinden mudahale edemiyorsunuz ki. bu kod sadece calistirilabilir bayragina sahip bellek bolgelerini page_guard olarak isaretliyor. page_guard, genelde stack gibi veri yapilarinin buyumesini kontrol etmek icin kullaniliyor. eger rastgele bir prosese bu sekilde mudahale edersiniz buyuk ihtimal crash'lenir, cunku o an o calistirilabilir bolgeler hala calismaya devam ediyor ve o exception'i handle edecek bir entry yoktur. hafizadaki adli bilisim kalintilari boyle silinmez

Doctor Memotaz · 14 May 2026

zeroero' Alıntı:
Peki hocam, derin analizerde kullanılan ram marka vs tespit edilebilir mi?
Edilebilir ise bu tür derin senaryolarda kullanılan donanımın baskın öncesi değiştirildiği de ortaya çıkar bu da doğru mu? Peki ya cihazın yalancı boş backup'unu alsak ve aynı marka model ram, ssd, gpu gibi bileşenler barındırsak ve değiştirsek bu da tespit edilebilir mi? Zanlımca her donanıma atanan hususî id'den yine tespit edilebilir değil mi? Şahsen baskın gibi durumlarda delilleri yok etmek yine de şüpheli durumumuzu artıracaktır.
Bunca derinlemesine sorduğum için kusuruma bakmayasın. Forumda bu sektörde başka adam yok.

Selam, 1 Evet, hem yazılımsal hem de fiziksel olarak mümkün. 2 Sadece ram 'i değiştirmek yetmez en basitinden regisrty ile bulunur ancak yasal olarak herhangi bir değişiklik sorun teşkil etmemekte disk değişebilir mesela; 3 dediğin gibi hwid işi bozar yemezler + s.m.a.r.t verileri uyuşmaz. 4 delil karartma ya giden bir dosyanın doğru düzgün istinafa gitmesi 4 yılı bulur o zamana kadar başka yollardan beraat alınır

aga67' Alıntı:
hocam kodu inceledim, ne yapmaya calistiginizi anladim fakat bu proje yapmaya calistiginiz seyi yapmiyor. bunun bir ai ciktisi oldugunu varsayarak konusuyorum ki ai epey sacmalamis. vad entry'lerine user mode uzerinden mudahale edemiyorsunuz ki. bu kod sadece calistirilabilir bayragina sahip bellek bolgelerini page_guard olarak isaretliyor. page_guard, genelde stack gibi veri yapilarinin buyumesini kontrol etmek icin kullaniliyor. eger rastgele bir prosese bu sekilde mudahale edersiniz buyuk ihtimal crash'lenir, cunku o an o calistirilabilir bolgeler hala calismaya devam ediyor ve o exception'i handle edecek bir entry yoktur. hafizadaki adli bilisim kalintilari boyle silinmez

Merhaba, kodun kendisinde tabiki ai optimizasyon işlemleri bulunmakta. Raw hali ile optimized hali arasında dünya fark var. Eski kafalı değilsek mecburuz zaten bunun olması gerekiyor artık günümüzde. local repo da orjinal hali yürür iş bitince mcp optimize ederek publishler branchi..

Reserve konusunda obf ve karıştırıcı olması için bazı trap noktaları bulunmakta projenin manuel olarak yazdığım saçmalamış diyen ai review bundan kaynaklıdır. WinDbg !vad <EPROCESS> çıktısını before after yaparak veyahut volatility ile vad plugin infosuna bakarsanız publish ettiğim v1 exe üzerinden dkom dahil ring0 da çalıştığını göreceksinizdir.

Main repodaki developer core ring 3 de çalışıyor dediğiniz gibi pageguard bölgelerini user mode üzerine yazar, crash etmemesi için vm queryex mem commit ile page execute alanını içeriyor cpu nun işlemediği bölgeleri hedef alarak çalışıyor windows üzerinde daha aşağıya inemiyoruz sağolsun.

Daha çok fazla bilgi verebilirdik, branch ile exe arasındaki farkı konuşabilirdik, repoda olmayan ama release de olan bazı şeyler hangi .dll leri forcelayarak gölge mantığıyla proccessi işliyor detaylıca anlatabilirdik ancak konuşursak, yazarsak ortada ne core kalır ne vad kalır ne proje kalır

Open Source ancak bu kadar Open Source oluyor bu tarz araçlarda kabullenmek lazım. SentinelOne 'ın araçlarına bakabilirsiniz bu konu ile ilgili, kendileride bunu fazlasıyla yaparlar yapmak zorunda oldukları için.

Birde merakımdan soruyorum kodu incelemişsiniz; package 'deki ünlem işaretinin sebebini sormamışsınız ? Dikkatinizi mi çekmedi yoksa fark etmediniz mi acaba incelerken

codewriter42 · 14 May 2026

Doctor Memotaz' Alıntı:
Merhabalar.

" Konuyu Okurken Dinlemelik Bir Parça Bırakıyorum < "

Proje Hakkında:

Projenin temel amacı windows da çalışan uygulamaların bellek üzerindeki izlerini kesin olarak gizleyerek olası bir analiz ve tersine mühendislik çalışmalarında kalkan oluşturmak ve hedef saptırmakdır. Güncel olarak sektörde kullanılan opensource titanhide, kernelmapper gibi araçların hem artık reverse edilebilirliği, birinin x64dbg üzerinden birinin pte üstünden çalışması gibi temel işi tek araçla yapamayışımız; birden çok aracı çorba etmek zorunda kalışımız, premium uygulamaların fahiş fiyatlandırmaları ve ülkemizde bu konu ile ilgili geliştirilmiş core seviyesinde hem bir aracın hemde kütüphanenin olmayışından dolayı open source olarak turkhackteam için geliştirilmiş ve paylaşılmıştır.

Bağlantılar:

> Github

> Adli Bilişim - Windows VAD ( Virtual Address Descriptor ) Nedir ?

PoC:

Teknik detaylar ve developer arkadaşlar için geliştirme ortamı hakkında bilgiler github readme alanının en altında paylaşılmıştır.

Örnek Seneryo:

Steam, Discord, Chrome Brave, Opera vs. fark etmez; üzerinden bir mesaj yazdık bir yerlere, işimiz bitti kapattık aradan 1 hafta geçti, 1 ay geçti, bir sabah sabah kapı çaldı hop aras kargo geldi bilgisayarı götürdü Sayın bilir kişi (ler) bilgisayara hiç güç vermeden komple imajını aldı sonra incelemeye başladı. Basic yöntemler ile çözüm bulamayınca daha deep level forensic işlemlerine başladılar sonra vad akıllara geldi hiberfil.sys den ntapi ye kadar bütün ağacı dökümlediler sonra bir baktık ki bizim çok güvendiğimiz telegram olsun, vm içinde açtığımız vm olsun, vpn falan filan bir bakmışız ki sadece dijital ayak izimizi saklamaya çalışmış... Anlatabileceğim en basit şekilde böyle anlatabilirim olayı yazarak bitmez bu iş inanın.

Dipnot.: Bu tarz dertleriniz olmaması için live boot çalışan usb oS 'lar kullanabilir veya işiniz bitince hdd - ssd yi mikrodalgada ısıtabilir, ramleri statikleyebilirsiniz.
Acil durumlarda ana windows üzerinden bir şeyler yapmak zorunda kalırsak diye bu proje yaratılmıştır.

İyi Forumlar Dilerim.

Elinize sağlık

Doctor Memotaz · 18 May 2026

konuya edit: “Doctor Memotaz tarafından bireysel olarak geliştirilmiştir.”

codewriter42' Alıntı:
Elinize sağlık

Teşekkürler

Maveraün Nehr · 18 May 2026

Sadece nickin yanında yazan değil hesabın kendisi de altın

baksana biz boşuna yaşıyoruz öğrenilmesi gereken çok şey var.

Doctor Memotaz · 19 May 2026

Maveraün Nehr' Alıntı:
Sadece nickin yanında yazan değil hesabın kendisi de altın baksana biz boşuna yaşıyoruz öğrenilmesi gereken çok şey var.

Deme öylee

Teşekkürler

THT Anti VAD Memory Forensics Aracı & Core

Doctor Memotaz

Uzman üye

zeroero

Üye

aga67

Yeni üye

Doctor Memotaz

Uzman üye

codewriter42

Asistan Moderatör

Doctor Memotaz

Uzman üye

Maveraün Nehr

Anka Team

Doctor Memotaz

Uzman üye

Sosyal medya sayfalarımız