- 15 Ocak 2019
- 311
- 1
- 76
Ram İmajı Nedir ?
Sistemde çalışmak istenen bütün veriler geçici olarak RAM'e gönderilir adli analizlerde sistem analizinde kesin sonuç sağlamakla birlikte birkaç örnek verelim İmajı alınan (.raw) dosyamızı okunabilir verileri sınıflandırabilir şekilde sistematik hale getireceğiz. Kullanacağımız 2 farklı program mevcut biri RAM imajı alırkan bir diğeri imajdan bilgi toplama işlevi görecek olan Volatility framework'dür.
RAM İçinde Ne Bilgiler Taşır ?
PS Listeleri
Yüklenen .Dll'ler
Aktif & Biten Bağlantılar
Son Yüklenen Yazılımlar
Yazılımların Bağlı Olduğu PID Değerleri
Son Kullanılan Uygulamalar
Sistem Çalıştırldığında İlgili İlk İşlemleri Gösterir
Ram İmajı Alma ?
Memdump aracını kullanacağız windows için Ram Capture aracı kullanılabilir kullanım hakkında bilgi ;
memdump [-kv] [-b buffer_size] [-d dump_size] [-m map_file] [-p page_size]
İnternetten git ile kurabilir veya paketlerden çekebilirsiniz ben kendi RAM analizimi yapmayacağım için konuyu bilgi dahilinde açıyorum.
sudo apt-get install memdump ile indirip ;
lyxg@root:~$ memdump -h // parametresini kullanıp uygulama hakkında detaylı bilgiye erişebiliriz.
memdump: invalid option -- 'h'
memdump: usage: memdump [options]
-b read_buffer_size (default 0, use the system page size)
-k (dump kernel memory instead of physical memory)
-m map_file (print memory map)
-p memory_page_size (default 0, use the system page size)
-s memory_dump-size (default 0, dump all memory)
-v (verbose mode for debugging)
Nedir Volatility ?
Alınan farklı RAM imajlarını inceleyen framework olarak tanımalabiliriz piyasadaki birçok framework'e göre güncelenebilir pulings bakımından YARA kuralları ile kullanılabilir kısaca içerik bakımından zengin bir sistem.
Linux içerisinde volatility kurulumunu yapalım ;
sudo apt-get install volatility (Ubuntu)
volatility -h ile tüm komutları listeliyoruz bir imajı incelemeden önce imajdan profil bilgisini almamız gerekmekte biraz örneklerle birlikte göstermeye çalışacağım
Profil bilgisini aldığınızı varsaydım ilgili parametremiz // volatility -f aaa.vmem imageinfo ile çalıştırılabilir profil listelerimizi deniyelim.
Kullanım hakkında ; volatility -f [image] --profile=[profile] [plugin]
Genel bilgi tanımını yaptıktan sonra framework'ün içinde biraz bilgi toplayalım.
volatility -f cridex.vmem --profile WinXPSP2x86 dlllist // yazıp ilgili .dll çıktılarnı inceledim birkaç özelliğine daha bakacağım.
volatility -f cridex.vmem --profile WinXPSP2x86 connscan // aktif-ölü bağlantıları izler
volatility -f cridex.vmem --profile WinXPSP2x86 iehistory
volatility -f cridex.vmem --profile WinXPSP2x86 pslist
volatility -f cridex.vmem --profile WinXPSP2x86 svcscan
Daha fazla parametre kullanımları için https://github.com/volatilityfoundation/volatility adresini ziyaret edin.
Ram imajlarından bilgi toplama çalışmaları ve uygulamalı analiz hakkında Linux // Windows gibi işletim mimarilerinde gelişmek okunanı anlamak için benimde LAB ortamında alıştırmada kullandığım örnek bir GİT projesi vereceğim https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
Son düzenleme: