Windows Bellek Derleme Yazılımları

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112
Bellek derlemek çoğunlukla digital forensics incelemelerinde birinci basamaktır.

Konularımı okuyan ya da bölüm hakkında bilgi sahibi olanlar bunu bilirler.

Herhangi bir incelemeye başlamadan önce hafızayı elde etmemiz gereklidir.

Bilgisayarın memorysi alabilmek için çokça çözüm yolu mevcut.

Ben genelde opensource yani açık kaynaklı ve ücretsiz olan yazılımların anlatımını yapıyorum, yapmaya da devam ediyorum.




Burada kısa bir uyarı geçeyim bilmeyenler için.

RAM imajı alırken işler farklı yürüdüğü için işlemi yaptığımız sistem üzerinde saklama yapmamamız gerekli.

Neden peki diye soracaklar için cevaplayayım.

Kaydedilen imaj işlem yapılan sistem üzerinde saklanır ise elde edilen imaja delil gözüyle baktığımızdan delil değişikliğe uğrar.

Bu nedenle saklamayı farklı bir sistem üzerinde yapmakta fayda var.



Uyarı ya da hatırlatmamı yaptığıma göre konuma geri dönebilirim.




Artık forensics bölümünde gezinen herkesin bildiği üzere bellek incelemeleri, incelenen sistem ve kullanıcıları ile ilgili çokça veri saklar.

Zaten işimiz de bu veriler ile.

Bu deliller hiçbir durumda sabit diske yazılmamalıdır.

Yukarıda sebebini anlattım.
Çoğunlukla page ya da hiberfil dediğimiz .sys uzantılı bölümlerde bulunduruyoruz.

Sonuç olarak atılan ya da alınan mailler hatta gizli sekme ile aranan bazı web uygulamaları verileri belleğe loglar.

İşte bu da delillerin sabit sürücüden kurtarılamayacağı anlamını taşır.

Bu kadar ek bilgi yeterli diye düşünerekten sizler için 3 adet bellek elde edebileceğimiz yazılımları göstereceğim.

Magnet RAM Capture


Bu yazılım windows'un eski ve yeni olmak üzere tüm sürümlerinde işlem yapabilmek adına bizlere yardımcı olur.

(Örneğin: Win2003, XP, Win8, WİN10 vs vs.)

Yazılım gayet basit ve göze hitap eden bir GUI'ye ev sahipliği ediyor.

İşlemlerimizi .DMP uzantısı sayesinde ham bir döküm haline getirir.

Yazılım Nasıl Yürütülür?


Hafıza elde etme işlemi için bu yazılımın yürütülmesi oldukça basit aslında.

USB ya da yerel makine aracılığı ile işlemlerimizi başlatabiliriz.

nqp00p7.png



Başlamadan önce iki adet öğe hakkında bizlere bilgi verecek.
Kod:
(1) Browse – elde edilen bilgilerin kaydedilmesi gereken yer.
(2) Segment size – Bilgilerin ayrılması gerekli mi yoksa değil mi?



Ayırma işlemi kurulumda varsayılan biçimde inaktifdir.

Ancak ayırma işlemi yapacaksanız FAT32 biçimli bir usb kullanmanızda fayda var.

8vt7ccc.png



Lokasyon ve boyut seçiminden sonra, start ile devam edelim kullandığımız program sistemin hafızasını almaya başlayacak.

Karşılaştığımız ilerleme çubuğu kalan süreyi bize gösterir.

Bellek hafızası alındıktan sonra, alınan hafıza kullandığınız analiz aracı hangisi ile onunla incelenebilir.

Magnet İle Elde Edilen Hafızayı İncelemek


Kullandığımız yazılım ile elde ettiğimiz hafıza ham bir bilgi formatı kullanıyor.

Bu sebeple IEF ya da Mandiant türünde forensics araçları ile inceleme yapmamız gerekli.


Ben kısaca IEF ile incelemeyi göstereceğim.

IEF ekranından Görüntüler'e gelip yukarıda elde ettiğimiz ham veri dosyasını yükleyeceğiz.


brmygs8.png


Yüklediğimizi varsayıyor ve devamına geçiyorum.

Arama yapmak istediğimiz herhangi nesneleri de seçebilme imkanı veriyor bize bu yazılım.

IEF ile search işlemi bitince, Rapor Görüntüleyici analiz edilen hafıza içerisinde aranan, saklanan bir dosyayı gösterecektir.

Bellek yüklendiği takdirde Görüntüleri seçeceğiz demiştim.

IEF buradan bulduğu bütün delilleri rapor şeklinde sunacaktır.

Sunulanları dosya şeklinde karşılamak isterseniz,

.dmp uzantılı incelenecek hafızayı yükleme esnasında Dosyalar ve Klasörler'i işaretleyeceksiniz.

Bu hafızalar dediğim gibi çokça veri saklar.

Analiz yaparken canlı bir sistem üzerinden elde edilen hafızalar, bu işi yapan uzmanların iş yükünü oldukça azaltır.

Atıyorum kötü amaçlı yazılım üzerinde çalışıyor olsak bile bellekte yapılan araştırmalar konu ile ilgili, bizlere istemediğimiz kadar delil verebilir.
Yazılımların linklerini bırakacağım.
Kod:
https://www.magnetforensics.com/resources/magnet-ram-capture/
https://www.magnetforensics.com/free-trial/?magnet-product=Magnet%20AXIOM&option=free-trial
 

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112

Belkasoft Live İle Bellek Derleme

Belkasoft'ta yine yukarıda anlatımını yaptığım yazılım gibi Windows'un bütün sürümlerinde çalışır.

Hatta yazılımın sahipleri hafıza kullanımını optimize etmek açısından bir numara olduklarını düşünüyorlar bile diyebilirim.

Varsayılan biçimde alınan hafızanın görselini yürütüldüğü dizinde tutar.

RAW formatına sahip hafıza listesi çıkartır.

Verdiği klasör uzantısı .mem'dir.

Bunun da linkini hemen aşağıya bırakıyorum.


Kod:
https://belkasoft.com/get?product=ram

Bu yazılım mümkün olabildiğince küçük bir kaplama alanı vermektedir.

Kurulum istememekte ve USB Disk yardımı ile çalıştırılabilir.

Belkasoft aracılığı ile elde edilen hafıza geçmişi sonrasında yine Belkasoft Evidence Center İncele aracı ile incelenebilir.




era9usz.png


Yazılımı indiriyoruz ve tıpkı USB sürücü gibi harici bir bölüme kopyalıyoruz.

Ardından sisteme takıyoruz.

Daha sonra veri elde etmek istediğimiz sisteme uygun sürümü Yönetici şeklinde çalıştır seçeneğini işaretliyoruz.
 

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112

AccessData FTK Görüntüleyiciyi Kullanmak

FTK Imager aracını nasıl kurabileceğinizi, nasıl kullanabileceğinizi anlattığım bir konum mevcut.
Bölüm içerisinden ulaşabilirsiniz.
Bu yazılım daha önce de söylediğim gibi orijinal deliller üzerinde değişiklik yapılmasına izin vermeden, delillerin kopyalarını alır.

Verilerin görüntüleri alındıktan sonra, detaylı bir analiz için FTK kullanabilirsiniz.

nhnh8i1.png


Yukarıdaki görselde verdiğim şekilde "Capture Memory" seçeneğine tıklayacağız.

Daha sonra, verilerin depolanması için dizin seçeceğiz.

Seçtikten sonra "Belleği Yakala" sekmesini işaretleyelim.

hitblqw.png

Süren işlemin bitmesini bekleyeceğiz.
Sonrasında bize verdiği veriyi Adli analiz araçları ile analizleyebiliriz.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.