Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Tersine Mühendislik

Tersine Mühendislik Reverse Engineering ve Cracking ile ilgili dökümanları bulabileceğiniz, CrackMe gibi uygulamaların paylaşıldığı bölüm.





DumpIt ve Volatility ile Bellek Dökümü Analizi // Phemis

Tersine Mühendislik

Yeni Konu aç Cevapla
 
Seçenekler
Alt 3 Hafta önce   #1
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
12/2017
Mesajlar
Konular

Teşekkür (Etti): 821
Teşekkür (Aldı): 583


DumpIt ve Volatility ile Bellek Dökümü Analizi // Phemis





Bellek Dökümü : Normalde bir uygulama veya sistem çökmesi durumunda bellek içeriğinin görüntülendiği ve saklandığı bir işlemdir. Fakat biz bu derste sistem çökmesi durumunda değil de malware analysis için kullanacağız..


: Kullanılan Programlar :
Memory Dumper / DumpIt
Analyzer / Volatility



BELLEK DÖKÜMÜ OLUŞTURALIM // DumpIt



Öncelikle bu linkten programımızı indirelim.


https://qpdownload.com/dumpit/


Fakat arkadaşlar indirme yönergelerine dikkat edin bilgisayara yandex , avast , mcafee kurulabilir..
DumpIt bilgisayarımıza indikten sonra

Programı iki tıklayarak açalım.

Evet arkadaşlar programı açtığımız vakit karşımıza çıkan ekran budur.
Ne anlatıyor bu ekran diyecek olursanız hemen söyleyeyim ; Destination bildiğiniz üzere varış yerini yani kaydedilecek yeri bize gösteriyor.

Ve daha sonrasında bize devam etmek istediğinizden emin misiniz sorusunu yöneltiyor.
Biraz üste bakacak olursak bize harddiskimizde boş alan ve kendisi için gereken alanı söylüyor.
Address Space Size : Oluşturulacak imajın boyutu
Free Space Size : Diskimizde bulunan boş alan
Biz bu devam etmek istediğinizden emin misiniz sorusuna y 'yi tuşlayarak devam ediyoruz.

y ' yi tuşladığımız zaman Processing.. yazısı geliyor.
Ve yukarda belirtilen destination kısmına bakarsanız göreceksiniz ki oraya bir image oluşmuş.
Arkadaşlar normal olarak bir resim değil açmaya çalışmayın.



Success yazısı geldi.
Bu da demek oluyor ki döküm oluşturma işlemi bitti
Oluşan dosyanın boyutuna bir bakalım.

9.24 GB





BELLEK DÖKÜMÜ ANALİZ EDELİM // Volatility


Öncelikle bu linkten programımızı indirelim.


https://www.volatilityfoundation.org/26


Evet programımız indikten sonra programımıza iki kere tıklarsak açılmayacaktır.
(Açılacak ama usage hatası verip kapacak.)
Bunun nedeni programın bir console uygulaması olması ve dolayısıyla program parametreler aracılığı ile çalışıyor.


CMD 'yi açalım.
İsterseniz

Windows Tuşu + R > CMD
İsterseniz de

Bulunduğu Dosya konumuna sağ tık > Open in command window in here


cmd açıldıktan sonra şunu yazalım :
Kod:
volatility.exe -h

volatility.exe ' ye help parametresini gönderdik ve şimdi komutlarına bakacağız.
(Ben programın ismi çok uzun diye volatility diye değiştirdim.)

evet options ayarlarını görüyoruz.


Bu kısımda programın desteklediği plugin komutlarını görüyoruz.
Asıl işimize yarayacak olan kısım burasıdır.




Sadece Bazılarını anlatacak olursam :

apihooks : Program hangi windows apilerine erişmiş ?

clipboard : Windows Clipboard'ını extract eder.

cmdscan : Cmd komut geçmişini extract eder.

connections : Açık bağlantıları listeler.

devicetree : Bağlı olan aygıtları listeler.

impscan : Çağrılan fonksiyonları tarar.

modules : Yüklenen modülleri listeler.

MALFİND : Gizli ve enjekte edilen kodu bulur.

procdump : Çalışan işlemi yürütülebilir bir dosya örneği şekline getirir.

pslist : Çalışan uygulamalar listesi yazdırır.
psxview : Gizli olan uygulamaları da yazdırır.

servicediff : Windows servislerini yazdırır.

screenshot : Windows'un baselediği ekran görüntülerini kaydeder.

sockets : Açık soketleri listeler

sockscan : TCP soket listeleri için havuz tarayıcıya aktarır.

yarascan : Çalışan bir işlemi yara signatürleri ile tarar.





___________________________________________

▶️ @Phemis
____________________________

Cahille Girme Münakaşaya; Ya Sinirini Zıplatır Tavana, Ya Da Yazık Olur Adabına.
 Offline  
 
Alıntı ile Cevapla
Alt 3 Hafta önce   #2
  • Yüzbaşı
  • Üye Bilgileri
Üyelik tarihi
07/2014
Nereden
Adana !
Yaş
19
Mesajlar
Konular

Teşekkür (Etti): 79
Teşekkür (Aldı): 54




Hocam Öğretici Konularınızın devamını temenni ederim.



___________________________________________

Mevzu Vatansa Gerisi Teferruattır.


Konu HydraThalles tarafından ( 3 Hafta önce Saat 00:02 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau