*-*Börteçine*-*
Kıdemli Üye
Çok yakın bir zamana kadar, bilişim suçlarında olay yeri inceleme birimlerinin kontrol listesinde Açık bilgisayarın güç kaynağı kablosunu çekerek kapat ibaresi yaygın bir şekilde kullanılıyordu. Bu işlemin dayandığı en büyük tez ise, bilgisayarın klasik kapanma esnasında delillerin (wipe ve deep freze) gibi yazılımlar yüzünden zarar görme ihtimaliydi.
Ancak, bilişim suçlarının evrimi, sosyal medya kullanımının yaygınlaşması, malware yazılımların (kötü niyetli yazılımlar) sayısında ve etkisinde yaşanan artışlar, bulut teknolojilerinin yaygınlaşması, kriptolu disk alanlarının kullanımın artması gibi etkenler nedeniyle bilgisayarın RAMinin (Geçici Bellek) kopyalanarak incelenmesini zorunlu bir standart haline getirmiştir. Artık, olay yeri ekipleri, bilgisayarın güç kablosunu çekmek bir yana, çalışır halde bulunan bir bilgisayarın ilk önce RAMin kopyasının alınmasının bir zorunluluk olduğunu bilmektedir.
Peki, RAM kopyalamayı bu kadar önemli ve kritik hale getiren nedir? RAMde ne tür bilgiler bulunmaktadır ve bu bilgiler ne işe yaramaktadır? İşte size cevapları:
- Çalışan prosesler ve hizmetlere ait bilgiler,
- Korumalı yazılımlara ait paketlenmemiş ve kriptolanmamış ham veriler,
- Sistem bilgileri (Örn:En son kapanmadan bu yana geçen zaman),
- Sisteme oturum açan kullanıcılara ait bilgiler,
- Kayıt defteri bilgileri,
- Açık ağ bağlantıları ve ARP önbellek,
- Sohbet kayıtları, sosyal ağ kalıntıları ve MMORPG oyunlarındaki iletişim kayıtları,
- Tarayıcı yazılımlara ait izler ve kayıt bilgileri, ziyaret edilen adres bilgileri,
- Web e-posta üzerinden yapılan en son işlemler,
- Bulut sistemlerine ait teknik bilgi ve veriler,
- Kriptolu disk alanlarına ait anahtarlar,
- En son bakılan fotoğraflar,
- Sistemde çalışan kötü niyetli yazılımlar.
Bu kadar önemli bilgilerin elde edildiği bir delili toplamak ve analiz etmek bir bilişim suçu araştırmacısı ve adli bilişim uzmanı için çok önemlidir. Zira artık pek çok bilişim suçu vakasının çözümünde, sırf disk adli kopyasının incelenmesi kesin sonucu bulmak için yeterli olmamaktadır. Uçucu delil olarak kabul edilen RAM analizi ve ağ aktivite analizinin yapılması bir zorunluluk halini almıştır.
RAMin adli kopyasını almak ve analiz etmek için kullanılan bazı yazılımlara ait bilgiler aşağıda sunulmuştur:
FTK Imager, E-Discovery & Computer Forensics | AccessData
Belkasoft Live RAM Capturer, Belkasoft: Evidence Search and Analysis Software for Digital Forensic Investigations
Magnet Forensics IEF, www.magnetforensics.com
Volatility, www.volatilesystems.com
X-Ways Capture, X-Ways Capture: Successfully seize all media, files, and RAM
MoonSols DumpIT, MoonSols Windows Memory Toolkit | MoonSols
kaynak: http://www.difose.com/blog/index.ph...uclar-nda-ram-gecici-bellek-analizinin-oenemi
Ancak, bilişim suçlarının evrimi, sosyal medya kullanımının yaygınlaşması, malware yazılımların (kötü niyetli yazılımlar) sayısında ve etkisinde yaşanan artışlar, bulut teknolojilerinin yaygınlaşması, kriptolu disk alanlarının kullanımın artması gibi etkenler nedeniyle bilgisayarın RAMinin (Geçici Bellek) kopyalanarak incelenmesini zorunlu bir standart haline getirmiştir. Artık, olay yeri ekipleri, bilgisayarın güç kablosunu çekmek bir yana, çalışır halde bulunan bir bilgisayarın ilk önce RAMin kopyasının alınmasının bir zorunluluk olduğunu bilmektedir.
Peki, RAM kopyalamayı bu kadar önemli ve kritik hale getiren nedir? RAMde ne tür bilgiler bulunmaktadır ve bu bilgiler ne işe yaramaktadır? İşte size cevapları:
- Çalışan prosesler ve hizmetlere ait bilgiler,
- Korumalı yazılımlara ait paketlenmemiş ve kriptolanmamış ham veriler,
- Sistem bilgileri (Örn:En son kapanmadan bu yana geçen zaman),
- Sisteme oturum açan kullanıcılara ait bilgiler,
- Kayıt defteri bilgileri,
- Açık ağ bağlantıları ve ARP önbellek,
- Sohbet kayıtları, sosyal ağ kalıntıları ve MMORPG oyunlarındaki iletişim kayıtları,
- Tarayıcı yazılımlara ait izler ve kayıt bilgileri, ziyaret edilen adres bilgileri,
- Web e-posta üzerinden yapılan en son işlemler,
- Bulut sistemlerine ait teknik bilgi ve veriler,
- Kriptolu disk alanlarına ait anahtarlar,
- En son bakılan fotoğraflar,
- Sistemde çalışan kötü niyetli yazılımlar.
Bu kadar önemli bilgilerin elde edildiği bir delili toplamak ve analiz etmek bir bilişim suçu araştırmacısı ve adli bilişim uzmanı için çok önemlidir. Zira artık pek çok bilişim suçu vakasının çözümünde, sırf disk adli kopyasının incelenmesi kesin sonucu bulmak için yeterli olmamaktadır. Uçucu delil olarak kabul edilen RAM analizi ve ağ aktivite analizinin yapılması bir zorunluluk halini almıştır.
RAMin adli kopyasını almak ve analiz etmek için kullanılan bazı yazılımlara ait bilgiler aşağıda sunulmuştur:
FTK Imager, E-Discovery & Computer Forensics | AccessData
Belkasoft Live RAM Capturer, Belkasoft: Evidence Search and Analysis Software for Digital Forensic Investigations
Magnet Forensics IEF, www.magnetforensics.com
Volatility, www.volatilesystems.com
X-Ways Capture, X-Ways Capture: Successfully seize all media, files, and RAM
MoonSols DumpIT, MoonSols Windows Memory Toolkit | MoonSols
kaynak: http://www.difose.com/blog/index.ph...uclar-nda-ram-gecici-bellek-analizinin-oenemi