Bu sefer analiz aşamasında ağ bağlantılarını, değerli materyalleri analiz etmeye çalışıyoruz.
connections
Bellek edinimi sırasında etkin olan TCP bağlantılarını görüntülemek için connections komutunu kullan. Bu tcpip.sys modülünde dışa aktarılmamış bir sembol tarafından işaret edilen bağlantı yapılarının tek bağlantı listesini verir.
Bu komut sadece Windows 2003, Windows XP x86 ve x64 içindir.
Çıktı, varsayılan olarak _TCPT_OBJECT sanal offsetini içerir. Fiziksel offset -P anahtarı ile elde edilebilir.
connscan
Havuz etiketi taramasını kullanarak _TCPT_OBECT yapılarını bulmak için, connscan komutunu kullan. Bu aktif olanlara ek olarak, o zamandan beri sonlandırılmış olan önceki bağlantılardan eserler bulabilir. Aşağıdaki çıktıda, bazı alanların kısmen üstüne yazıldığını fark edeceksiniz ancak bazı bilgiler hala doğru. Örneğin, en son girişte Pid alanı 0dır, ancak diğer tüm alanlar hala bağlantıdadır. Bu nedenle, bazen yanlış pozitifler bulsak da, mümkün olduğunca fazla bilgi tespit etme avantajına da sahip olursunuz.
Bu komut sadece Windows 2003, Windows x86 ve x64 içindir.
sockets
Herhangi bir protokol (TCP, UDP, RAW) için dinleme soketlerini tespit etmek için, sockets komutunu kullan. Bu tcpip.sys modülünde dışa aktarılmamış bir sembol tarafından işaret edilen bağlantı yapılarının tek bağlantı soket yapılarının bir listesini verir.
Bu komut sadece Windows 2003, Windows x86 ve x64 içindir.
Çıktı, varsayılan olarak _ADDRESS_OBJECT sana ofsetini içerir. Fiziksel offset -P anahtarı ile elde edilebilir.
sockscan
Havuz etiketi taramasını kullanarak _ADDRESS_OBJECT yapılarını bulmak için, sockscan komutunu kullan. connscanda olduğu gibi, bu önceki soketlerden kalan verileri ve eserleri toplayabilir.
Bu komut sadece Windows 2003, Windows x86 ve x64 içindir.
netscan
32 ve 64 bit Winwos Vista, Windows 2008 Server ve Windows 7 bellek dökümlerinde ağ yapılarını taramak için netscan komutunu kullan. Bu, TCP bitiş noktalarını, TCP dinleyicilerini, UDP bitiş noktalarını ve UDP dinleyicilerini bulur. IPv4 ve IPv6 arasında ayrım yapar, yerel ve uzak IPyi (eğer varsa), yerel ve uzak portu (eğer varsa), soketin bağlandığı veya bağlantının kurulduğu zaman ve mevcut durumu (TCP bağlantıları için sadece) yazdırır.
Lütfen aşağıdakileri dikkate alın:
Netscan komutu havuz etiketi taramasını kullanır.
Vista+ iletim sistemlerinde bağlantıları ve soketleri numaralandırmak için en az 2 alternatif yol vardır. Birisi, Windows sistemlerindeki netstat.exe yardımcı programının çalıştığı bölümleri ve dinamik karma tabloları kullanmaktır. Diğeri ise bitmapleri ve port havuzlarını içerir.
connections
Bellek edinimi sırasında etkin olan TCP bağlantılarını görüntülemek için connections komutunu kullan. Bu tcpip.sys modülünde dışa aktarılmamış bir sembol tarafından işaret edilen bağlantı yapılarının tek bağlantı listesini verir.
Bu komut sadece Windows 2003, Windows XP x86 ve x64 içindir.
Kod:
$ vol.py -f Win2003SP2x64.vmem --profile=Win2003SP2x64 connections
Volatile Systems Volatility Framework 2.1_alpha
Offset(V) Local Address Remote Address Pid
------------------ ------------------------- ------------------------- ------
0xfffffadfe6f2e2f0 172.16.237.150:1408 72.246.25.25:80 2136
0xfffffadfe72e8080 172.16.237.150:1369 64.4.11.30:80 2136
0xfffffadfe622d010 172.16.237.150:1403 74.125.229.188:80 2136
0xfffffadfe62e09e0 172.16.237.150:1352 64.4.11.20:80 2136
0xfffffadfe6f2e630 172.16.237.150:1389 209.191.122.70:80 2136
0xfffffadfe5e7a610 172.16.237.150:1419 74.125.229.187:80 2136
0xfffffadfe7321bc0 172.16.237.150:1418 74.125.229.188:80 2136
0xfffffadfe5ea3c90 172.16.237.150:1393 216.115.98.241:80 2136
0xfffffadfe72a3a80 172.16.237.150:1391 209.191.122.70:80 2136
0xfffffadfe5ed8560 172.16.237.150:1402 74.125.229.188:80 2136Çıktı, varsayılan olarak _TCPT_OBJECT sanal offsetini içerir. Fiziksel offset -P anahtarı ile elde edilebilir.
connscan
Havuz etiketi taramasını kullanarak _TCPT_OBECT yapılarını bulmak için, connscan komutunu kullan. Bu aktif olanlara ek olarak, o zamandan beri sonlandırılmış olan önceki bağlantılardan eserler bulabilir. Aşağıdaki çıktıda, bazı alanların kısmen üstüne yazıldığını fark edeceksiniz ancak bazı bilgiler hala doğru. Örneğin, en son girişte Pid alanı 0dır, ancak diğer tüm alanlar hala bağlantıdadır. Bu nedenle, bazen yanlış pozitifler bulsak da, mümkün olduğunca fazla bilgi tespit etme avantajına da sahip olursunuz.
Bu komut sadece Windows 2003, Windows x86 ve x64 içindir.
Kod:
$ vol.py -f Win2K3SP0x64.vmem --profile=Win2003SP2x64 connscan
Volatility Foundation Volatility Framework 2.4
Offset(P) Local Address Remote Address Pid
---------- ------------------------- ------------------------- ------
0x0ea7a610 172.16.237.150:1419 74.125.229.187:80 2136
0x0eaa3c90 172.16.237.150:1393 216.115.98.241:80 2136
0x0eaa4480 172.16.237.150:1398 216.115.98.241:80 2136
0x0ead8560 172.16.237.150:1402 74.125.229.188:80 2136
0x0ee2d010 172.16.237.150:1403 74.125.229.188:80 2136
0x0eee09e0 172.16.237.150:1352 64.4.11.20:80 2136
0x0f9f83c0 172.16.237.150:1425 98.139.240.23:80 2136
0x0f9fe010 172.16.237.150:1394 216.115.98.241:80 2136
0x0fb2e2f0 172.16.237.150:1408 72.246.25.25:80 2136
0x0fb2e630 172.16.237.150:1389 209.191.122.70:80 2136
0x0fb72730 172.16.237.150:1424 98.139.240.23:80 2136
0x0fea3a80 172.16.237.150:1391 209.191.122.70:80 2136
0x0fee8080 172.16.237.150:1369 64.4.11.30:80 2136
0x0ff21bc0 172.16.237.150:1418 74.125.229.188:80 2136
0x1019ec90 172.16.237.150:1397 216.115.98.241:80 2136
0x179099e0 172.16.237.150:1115 66.150.117.33:80 2856
0x2cdb1bf0 172.16.237.150:139 172.16.237.1:63369 4
0x339c2c00 172.16.237.150:1138 23.45.66.43:80 1332
0x39b10010 172.16.237.150:1148 172.16.237.138:139 0sockets
Herhangi bir protokol (TCP, UDP, RAW) için dinleme soketlerini tespit etmek için, sockets komutunu kullan. Bu tcpip.sys modülünde dışa aktarılmamış bir sembol tarafından işaret edilen bağlantı yapılarının tek bağlantı soket yapılarının bir listesini verir.
Bu komut sadece Windows 2003, Windows x86 ve x64 içindir.
Kod:
$ vol.py -f Win2K3SP0x64.vmem --profile=Win2003SP2x64 sockets
Volatility Foundation Volatility Framework 2.4
Offset(V) PID Port Proto Protocol Address Create Time
------------------ ------ ------ ------ --------------- --------------- -----------
0xfffffadfe71bbda0 432 1025 6 TCP 0.0.0.0 2012-01-23 18:20:01
0xfffffadfe7350490 776 1028 17 UDP 0.0.0.0 2012-01-23 18:21:44
0xfffffadfe6281120 804 123 17 UDP 127.0.0.1 2012-06-25 12:40:55
0xfffffadfe7549010 432 500 17 UDP 0.0.0.0 2012-01-23 18:20:09
0xfffffadfe5ee8400 4 0 47 GRE 0.0.0.0 2012-02-24 18:09:07
0xfffffadfe606dc90 4 445 6 TCP 0.0.0.0 2012-01-23 18:19:38
0xfffffadfe6eef770 4 445 17 UDP 0.0.0.0 2012-01-23 18:19:38
0xfffffadfe7055210 2136 1321 17 UDP 127.0.0.1 2012-05-09 02:09:59
0xfffffadfe750c010 4 139 6 TCP 172.16.237.150 2012-06-25 12:40:55
0xfffffadfe745f610 4 138 17 UDP 172.16.237.150 2012-06-25 12:40:55
0xfffffadfe6096560 4 137 17 UDP 172.16.237.150 2012-06-25 12:40:55
0xfffffadfe7236da0 720 135 6 TCP 0.0.0.0 2012-01-23 18:19:51
0xfffffadfe755c5b0 2136 1419 6 TCP 0.0.0.0 2012-06-25 12:42:37
0xfffffadfe6f36510 2136 1418 6 TCP 0.0.0.0 2012-06-25 12:42:37
[snip]Çıktı, varsayılan olarak _ADDRESS_OBJECT sana ofsetini içerir. Fiziksel offset -P anahtarı ile elde edilebilir.
sockscan
Havuz etiketi taramasını kullanarak _ADDRESS_OBJECT yapılarını bulmak için, sockscan komutunu kullan. connscanda olduğu gibi, bu önceki soketlerden kalan verileri ve eserleri toplayabilir.
Bu komut sadece Windows 2003, Windows x86 ve x64 içindir.
Kod:
$ vol.py -f Win2K3SP0x64.vmem --profile=Win2003SP2x64 sockscan
Volatility Foundation Volatility Framework 2.4
Offset(P) PID Port Proto Protocol Address Create Time
------------------ ------ ------ ------ --------------- --------------- -----------
0x0000000000608010 804 123 17 UDP 172.16.237.150 2012-05-08 22:17:44
0x000000000eae8400 4 0 47 GRE 0.0.0.0 2012-02-24 18:09:07
0x000000000eaf1240 2136 1403 6 TCP 0.0.0.0 2012-06-25 12:42:37
0x000000000ec6dc90 4 445 6 TCP 0.0.0.0 2012-01-23 18:19:38
0x000000000ec96560 4 137 17 UDP 172.16.237.150 2012-06-25 12:40:55
0x000000000ecf7d20 2136 1408 6 TCP 0.0.0.0 2012-06-25 12:42:37
0x000000000ed5a010 2136 1352 6 TCP 0.0.0.0 2012-06-25 12:42:18
0x000000000ed84ca0 804 123 17 UDP 172.16.237.150 2012-06-25 12:40:55
0x000000000ee2d380 2136 1393 6 TCP 0.0.0.0 2012-06-25 12:42:37
0x000000000ee81120 804 123 17 UDP 127.0.0.1 2012-06-25 12:40:55
0x000000000eeda8c0 776 1363 17 UDP 0.0.0.0 2012-06-25 12:42:20
0x000000000f0be1a0 2136 1402 6 TCP 0.0.0.0 2012-06-25 12:42:37
0x000000000f0d0890 4 1133 6 TCP 0.0.0.0 2012-02-24 18:09:07
[snip]netscan
32 ve 64 bit Winwos Vista, Windows 2008 Server ve Windows 7 bellek dökümlerinde ağ yapılarını taramak için netscan komutunu kullan. Bu, TCP bitiş noktalarını, TCP dinleyicilerini, UDP bitiş noktalarını ve UDP dinleyicilerini bulur. IPv4 ve IPv6 arasında ayrım yapar, yerel ve uzak IPyi (eğer varsa), yerel ve uzak portu (eğer varsa), soketin bağlandığı veya bağlantının kurulduğu zaman ve mevcut durumu (TCP bağlantıları için sadece) yazdırır.
Lütfen aşağıdakileri dikkate alın:
Netscan komutu havuz etiketi taramasını kullanır.
Vista+ iletim sistemlerinde bağlantıları ve soketleri numaralandırmak için en az 2 alternatif yol vardır. Birisi, Windows sistemlerindeki netstat.exe yardımcı programının çalıştığı bölümleri ve dinamik karma tabloları kullanmaktır. Diğeri ise bitmapleri ve port havuzlarını içerir.
Kod:
$ vol.py -f ~/Desktop/win7_trial_64bit.raw --profile=Win7SP0x64 netscan
Volatility Foundation Volatility Framework 2.4
Offset(P) Proto Local Address Foreign Address State Pid Owner Created
0xf882a30 TCPv4 0.0.0.0:135 0.0.0.0:0 LISTENING 628 svchost.exe
0xfc13770 TCPv4 0.0.0.0:49154 0.0.0.0:0 LISTENING 916 svchost.exe
0xfdda1e0 TCPv4 0.0.0.0:49154 0.0.0.0:0 LISTENING 916 svchost.exe
0xfdda1e0 TCPv6 :::49154 :::0 LISTENING 916 svchost.exe
0x1121b7b0 TCPv4 0.0.0.0:135 0.0.0.0:0 LISTENING 628 svchost.exe
0x1121b7b0 TCPv6 :::135 :::0 LISTENING 628 svchost.exe
0x11431360 TCPv4 0.0.0.0:49152 0.0.0.0:0 LISTENING 332 wininit.exe
0x11431360 TCPv6 :::49152 :::0 LISTENING 332 wininit.exe
[snip]
0x17de8980 TCPv6 :::49153 :::0 LISTENING 444 lsass.exe
0x17f35240 TCPv4 0.0.0.0:49155 0.0.0.0:0 LISTENING 880 svchost.exe
0x17f362b0 TCPv4 0.0.0.0:49155 0.0.0.0:0 LISTENING 880 svchost.exe
0x17f362b0 TCPv6 :::49155 :::0 LISTENING 880 svchost.exe
0xfd96570 TCPv4 -:0 232.9.125.0:0 CLOSED 1 ?C?
0x17236010 TCPv4 -:49227 184.26.31.55:80 CLOSED 2820 iexplore.exe
0x1725d010 TCPv4 -:49359 93.184.220.20:80 CLOSED 2820 iexplore.exe
0x17270530 TCPv4 10.0.2.15:49363 173.194.35.38:80 ESTABLISHED 2820 iexplore.exe
0x17285010 TCPv4 -:49341 82.165.218.111:80 CLOSED 2820 iexplore.exe
0x17288a90 TCPv4 10.0.2.15:49254 74.125.31.157:80 CLOSE_WAIT 2820 iexplore.exe
0x1728f6b0 TCPv4 10.0.2.15:49171 204.245.34.130:80 ESTABLISHED 2820 iexplore.exe
0x17291ba0 TCPv4 10.0.2.15:49347 173.194.35.36:80 CLOSE_WAIT 2820 iexplore.exe
[snip]
0x17854010 TCPv4 -:49168 157.55.15.32:80 CLOSED 2820 iexplore.exe
0x178a2a20 TCPv4 -:0 88.183.123.0:0 CLOSED 504 svchost.exe
0x178f5b00 TCPv4 10.0.2.15:49362 173.194.35.38:80 CLOSE_WAIT 2820 iexplore.exe
0x17922910 TCPv4 -:49262 184.26.31.55:80 CLOSED 2820 iexplore.exe
0x17a9d860 TCPv4 10.0.2.15:49221 204.245.34.130:80 ESTABLISHED 2820 iexplore.exe
0x17ac84d0 TCPv4 10.0.2.15:49241 74.125.31.157:80 CLOSE_WAIT 2820 iexplore.exe
0x17b9acf0 TCPv4 10.0.2.15:49319 74.125.127.148:80 CLOSE_WAIT 2820 iexplore.exe
0x10f38d70 UDPv4 10.0.2.15:1900 *:* 1736 svchost.exe 2012-02-22 20:04:12
0x173b3dc0 UDPv4 0.0.0.0:59362 *:* 1736 svchost.exe 2012-02-22 20:02:27
0x173b3dc0 UDPv6 :::59362 *:* 1736 svchost.exe 2012-02-22 20:02:27
0x173b4cf0 UDPv4 0.0.0.0:3702 *:* 1736 svchost.exe 2012-02-22 20:02:27
0x173b4cf0 UDPv6 :::3702 *:* 1736 svchost.exe 2012-02-22 20:02:27
[snip]
Son düzenleme:
