Selam Dostlar , Bugün İlk Adli Bilişim Konum ( Volatility ile Ram İmajı ) Olacak 
: , Umarım Çok Yararlı Konu Olur ...
(~) Volatility Nedir ?
Volatility Windows/Linux Üzerinde Kullanıla Bilen İnceleme Programdır
Volatility https://www.volatilityfoundation.org/ Bu Adresten İndire Bilirsiniz ve ya Kali Linux Kullanıyorsanız Terminalden https://github.com/volatilityfoundation/volatility/wiki/Installation Bu Adresten İndire Bilirsiniz ...
(~) Volatility Nasıl Çalıştırılır ?
Linux - Terminal :
Windows - CMD :
(~) Kullanalım
Kullanmaya Başlamadan Önce (.mem) uzantılı dosya imajını nereye konulacağını belirliyoruz ...
Komutlarımızı Belirleyelim :
Ram İmajını incelemeye Başlayalım ;
Karşınıza Buna Benzer Sonuç Çıkacaktır , Bu Bizim Ön Bilgilerimiz
Şimdi Aktif İşlemleri Belirleyelim
PİD-PPİD-Thds-Hnds-Sess Sonuçlarımızı Alacağız ...
Sıradaki İncelememiz Text Üzerinde (Notepad) Olacaktır ..
Bu Komut Sayesinde Notepad İşlemlerimize Baka Biliriz.
İE (İnternet Explorer) Tarayıcı Geçmişine Bakalım ...
Bilgisayar Administrator (Kullanıcı Adı ) ve Parolayı Belirleye Biliyoruz , Benim En Sevdiğim Komut Bu:
Kullanıcı Adı ve Şifre MD5 Şifrelenmiş Haliyle Belirleniyor Biz Bunu MD5 Şifre Kırıcılarla Çöze Biliriz ...
Önemli Not : Tüm Komutların Önünde (Ön Komutun Arkasına ) WinXPSP2x86 Olmalıdır , Yoksa İşlem Çalışmaz ...
(~) Ram İmajı Neden Alırız ?
1-) Çalışan İşlemlerin Verileri
2-) Şifrelenmiş/Confused Veriler
3-) Tarayıcı Üzerinde Belirlenen Veriler
4-) DLL Verileri
5-) Sistemde Bulunan Aktif Malware Verileri
: , Umarım Çok Yararlı Konu Olur ...
(~) Volatility Nedir ?
Volatility Windows/Linux Üzerinde Kullanıla Bilen İnceleme Programdır
Volatility https://www.volatilityfoundation.org/ Bu Adresten İndire Bilirsiniz ve ya Kali Linux Kullanıyorsanız Terminalden https://github.com/volatilityfoundation/volatility/wiki/Installation Bu Adresten İndire Bilirsiniz ...
(~) Volatility Nasıl Çalıştırılır ?
Linux - Terminal :
Kod:
cd /ornek/volatility
Kod:
python vol.pyWindows - CMD :
Kod:
volatility_2.5_win32_standalone.exe(~) Kullanalım
Kullanmaya Başlamadan Önce (.mem) uzantılı dosya imajını nereye konulacağını belirliyoruz ...
Komutlarımızı Belirleyelim :
Kod:
volatility -helpRam İmajını incelemeye Başlayalım ;
Kod:
volatility -f herorahim.mem imageinfoKarşınıza Buna Benzer Sonuç Çıkacaktır , Bu Bizim Ön Bilgilerimiz
Şimdi Aktif İşlemleri Belirleyelim
Kod:
volatility -f herorahim.mem --profile pslistPİD-PPİD-Thds-Hnds-Sess Sonuçlarımızı Alacağız ...
Sıradaki İncelememiz Text Üzerinde (Notepad) Olacaktır ..
Kod:
volatility -f herorahim.mem --profile dlllistBu Komut Sayesinde Notepad İşlemlerimize Baka Biliriz.
İE (İnternet Explorer) Tarayıcı Geçmişine Bakalım ...
Kod:
volatility -f herorahim.mem --profile iehistoryBilgisayar Administrator (Kullanıcı Adı ) ve Parolayı Belirleye Biliyoruz , Benim En Sevdiğim Komut Bu
:
Kod:
volatility -f herorahim.mem profiles hashdumpKullanıcı Adı ve Şifre MD5 Şifrelenmiş Haliyle Belirleniyor Biz Bunu MD5 Şifre Kırıcılarla Çöze Biliriz ...
Önemli Not : Tüm Komutların Önünde (Ön Komutun Arkasına ) WinXPSP2x86 Olmalıdır , Yoksa İşlem Çalışmaz ...
(~) Ram İmajı Neden Alırız ?
1-) Çalışan İşlemlerin Verileri
2-) Şifrelenmiş/Confused Veriler
3-) Tarayıcı Üzerinde Belirlenen Veriler
4-) DLL Verileri
5-) Sistemde Bulunan Aktif Malware Verileri
