Selam Dostlar , Bugün İlk Adli Bilişim Konum ( Volatility ile Ram İmajı ) Olacak : , Umarım Çok Yararlı Konu Olur ...
(~) Volatility Nedir ?
Volatility Windows/Linux Üzerinde Kullanıla Bilen İnceleme Programdır
Volatility https://www.volatilityfoundation.org/ Bu Adresten İndire Bilirsiniz ve ya Kali Linux Kullanıyorsanız Terminalden https://github.com/volatilityfoundation/volatility/wiki/Installation Bu Adresten İndire Bilirsiniz ...
(~) Volatility Nasıl Çalıştırılır ?
Linux - Terminal :
Windows - CMD :
(~) Kullanalım
Kullanmaya Başlamadan Önce (.mem) uzantılı dosya imajını nereye konulacağını belirliyoruz ...
Komutlarımızı Belirleyelim :
Ram İmajını incelemeye Başlayalım ;
Karşınıza Buna Benzer Sonuç Çıkacaktır , Bu Bizim Ön Bilgilerimiz
Şimdi Aktif İşlemleri Belirleyelim
PİD-PPİD-Thds-Hnds-Sess Sonuçlarımızı Alacağız ...
Sıradaki İncelememiz Text Üzerinde (Notepad) Olacaktır ..
Bu Komut Sayesinde Notepad İşlemlerimize Baka Biliriz.
İE (İnternet Explorer) Tarayıcı Geçmişine Bakalım ...
Bilgisayar Administrator (Kullanıcı Adı ) ve Parolayı Belirleye Biliyoruz , Benim En Sevdiğim Komut Bu :
Kullanıcı Adı ve Şifre MD5 Şifrelenmiş Haliyle Belirleniyor Biz Bunu MD5 Şifre Kırıcılarla Çöze Biliriz ...
Önemli Not : Tüm Komutların Önünde (Ön Komutun Arkasına ) WinXPSP2x86 Olmalıdır , Yoksa İşlem Çalışmaz ...
(~) Ram İmajı Neden Alırız ?
1-) Çalışan İşlemlerin Verileri
2-) Şifrelenmiş/Confused Veriler
3-) Tarayıcı Üzerinde Belirlenen Veriler
4-) DLL Verileri
5-) Sistemde Bulunan Aktif Malware Verileri
(~) Volatility Nedir ?
Volatility Windows/Linux Üzerinde Kullanıla Bilen İnceleme Programdır
Volatility https://www.volatilityfoundation.org/ Bu Adresten İndire Bilirsiniz ve ya Kali Linux Kullanıyorsanız Terminalden https://github.com/volatilityfoundation/volatility/wiki/Installation Bu Adresten İndire Bilirsiniz ...
(~) Volatility Nasıl Çalıştırılır ?
Linux - Terminal :
Kod:
cd /ornek/volatility
Kod:
python vol.py
Windows - CMD :
Kod:
volatility_2.5_win32_standalone.exe
(~) Kullanalım
Kullanmaya Başlamadan Önce (.mem) uzantılı dosya imajını nereye konulacağını belirliyoruz ...
Komutlarımızı Belirleyelim :
Kod:
volatility -help
Ram İmajını incelemeye Başlayalım ;
Kod:
volatility -f herorahim.mem imageinfo
Karşınıza Buna Benzer Sonuç Çıkacaktır , Bu Bizim Ön Bilgilerimiz
Şimdi Aktif İşlemleri Belirleyelim
Kod:
volatility -f herorahim.mem --profile pslist
PİD-PPİD-Thds-Hnds-Sess Sonuçlarımızı Alacağız ...
Sıradaki İncelememiz Text Üzerinde (Notepad) Olacaktır ..
Kod:
volatility -f herorahim.mem --profile dlllist
Bu Komut Sayesinde Notepad İşlemlerimize Baka Biliriz.
İE (İnternet Explorer) Tarayıcı Geçmişine Bakalım ...
Kod:
volatility -f herorahim.mem --profile iehistory
Bilgisayar Administrator (Kullanıcı Adı ) ve Parolayı Belirleye Biliyoruz , Benim En Sevdiğim Komut Bu :
Kod:
volatility -f herorahim.mem profiles hashdump
Kullanıcı Adı ve Şifre MD5 Şifrelenmiş Haliyle Belirleniyor Biz Bunu MD5 Şifre Kırıcılarla Çöze Biliriz ...
Önemli Not : Tüm Komutların Önünde (Ön Komutun Arkasına ) WinXPSP2x86 Olmalıdır , Yoksa İşlem Çalışmaz ...
(~) Ram İmajı Neden Alırız ?
1-) Çalışan İşlemlerin Verileri
2-) Şifrelenmiş/Confused Veriler
3-) Tarayıcı Üzerinde Belirlenen Veriler
4-) DLL Verileri
5-) Sistemde Bulunan Aktif Malware Verileri