- 24 Haz 2015
- 2,336
- 190
- 112
Bellek derlemek çoğunlukla digital forensics incelemelerinde birinci basamaktır.
Konularımı okuyan ya da bölüm hakkında bilgi sahibi olanlar bunu bilirler.
Herhangi bir incelemeye başlamadan önce hafızayı elde etmemiz gereklidir.
Bilgisayarın memorysi alabilmek için çokça çözüm yolu mevcut.
Ben genelde opensource yani açık kaynaklı ve ücretsiz olan yazılımların anlatımını yapıyorum, yapmaya da devam ediyorum.
Burada kısa bir uyarı geçeyim bilmeyenler için.
RAM imajı alırken işler farklı yürüdüğü için işlemi yaptığımız sistem üzerinde saklama yapmamamız gerekli.
Neden peki diye soracaklar için cevaplayayım.
Kaydedilen imaj işlem yapılan sistem üzerinde saklanır ise elde edilen imaja delil gözüyle baktığımızdan delil değişikliğe uğrar.
Bu nedenle saklamayı farklı bir sistem üzerinde yapmakta fayda var.
Uyarı ya da hatırlatmamı yaptığıma göre konuma geri dönebilirim.
Artık forensics bölümünde gezinen herkesin bildiği üzere bellek incelemeleri, incelenen sistem ve kullanıcıları ile ilgili çokça veri saklar.
Zaten işimiz de bu veriler ile.
Bu deliller hiçbir durumda sabit diske yazılmamalıdır.
Yukarıda sebebini anlattım.
Çoğunlukla page ya da hiberfil dediğimiz .sys uzantılı bölümlerde bulunduruyoruz.
Sonuç olarak atılan ya da alınan mailler hatta gizli sekme ile aranan bazı web uygulamaları verileri belleğe loglar.
İşte bu da delillerin sabit sürücüden kurtarılamayacağı anlamını taşır.
Bu kadar ek bilgi yeterli diye düşünerekten sizler için 3 adet bellek elde edebileceğimiz yazılımları göstereceğim.
Konularımı okuyan ya da bölüm hakkında bilgi sahibi olanlar bunu bilirler.
Herhangi bir incelemeye başlamadan önce hafızayı elde etmemiz gereklidir.
Bilgisayarın memorysi alabilmek için çokça çözüm yolu mevcut.
Ben genelde opensource yani açık kaynaklı ve ücretsiz olan yazılımların anlatımını yapıyorum, yapmaya da devam ediyorum.
Burada kısa bir uyarı geçeyim bilmeyenler için.
RAM imajı alırken işler farklı yürüdüğü için işlemi yaptığımız sistem üzerinde saklama yapmamamız gerekli.
Neden peki diye soracaklar için cevaplayayım.
Kaydedilen imaj işlem yapılan sistem üzerinde saklanır ise elde edilen imaja delil gözüyle baktığımızdan delil değişikliğe uğrar.
Bu nedenle saklamayı farklı bir sistem üzerinde yapmakta fayda var.
Uyarı ya da hatırlatmamı yaptığıma göre konuma geri dönebilirim.
Artık forensics bölümünde gezinen herkesin bildiği üzere bellek incelemeleri, incelenen sistem ve kullanıcıları ile ilgili çokça veri saklar.
Zaten işimiz de bu veriler ile.
Bu deliller hiçbir durumda sabit diske yazılmamalıdır.
Yukarıda sebebini anlattım.
Çoğunlukla page ya da hiberfil dediğimiz .sys uzantılı bölümlerde bulunduruyoruz.
Sonuç olarak atılan ya da alınan mailler hatta gizli sekme ile aranan bazı web uygulamaları verileri belleğe loglar.
İşte bu da delillerin sabit sürücüden kurtarılamayacağı anlamını taşır.
Bu kadar ek bilgi yeterli diye düşünerekten sizler için 3 adet bellek elde edebileceğimiz yazılımları göstereceğim.
Magnet RAM Capture
Bu yazılım windows'un eski ve yeni olmak üzere tüm sürümlerinde işlem yapabilmek adına bizlere yardımcı olur.
(Örneğin: Win2003, XP, Win8, WİN10 vs vs.)
Yazılım gayet basit ve göze hitap eden bir GUI'ye ev sahipliği ediyor.
İşlemlerimizi .DMP uzantısı sayesinde ham bir döküm haline getirir.
Yazılım Nasıl Yürütülür?
Hafıza elde etme işlemi için bu yazılımın yürütülmesi oldukça basit aslında.
USB ya da yerel makine aracılığı ile işlemlerimizi başlatabiliriz.
Başlamadan önce iki adet öğe hakkında bizlere bilgi verecek.
Kod:
(1) Browse – elde edilen bilgilerin kaydedilmesi gereken yer.
(2) Segment size – Bilgilerin ayrılması gerekli mi yoksa değil mi?
Ayırma işlemi kurulumda varsayılan biçimde inaktifdir.
Ancak ayırma işlemi yapacaksanız FAT32 biçimli bir usb kullanmanızda fayda var.
Lokasyon ve boyut seçiminden sonra, start ile devam edelim kullandığımız program sistemin hafızasını almaya başlayacak.
Karşılaştığımız ilerleme çubuğu kalan süreyi bize gösterir.
Bellek hafızası alındıktan sonra, alınan hafıza kullandığınız analiz aracı hangisi ile onunla incelenebilir.
Magnet İle Elde Edilen Hafızayı İncelemek
Kullandığımız yazılım ile elde ettiğimiz hafıza ham bir bilgi formatı kullanıyor.
Bu sebeple IEF ya da Mandiant türünde forensics araçları ile inceleme yapmamız gerekli.
Bu sebeple IEF ya da Mandiant türünde forensics araçları ile inceleme yapmamız gerekli.
Ben kısaca IEF ile incelemeyi göstereceğim.
IEF ekranından Görüntüler'e gelip yukarıda elde ettiğimiz ham veri dosyasını yükleyeceğiz.
Yüklediğimizi varsayıyor ve devamına geçiyorum.
Arama yapmak istediğimiz herhangi nesneleri de seçebilme imkanı veriyor bize bu yazılım.
IEF ile search işlemi bitince, Rapor Görüntüleyici analiz edilen hafıza içerisinde aranan, saklanan bir dosyayı gösterecektir.
Bellek yüklendiği takdirde Görüntüleri seçeceğiz demiştim.
IEF buradan bulduğu bütün delilleri rapor şeklinde sunacaktır.
Sunulanları dosya şeklinde karşılamak isterseniz,
.dmp uzantılı incelenecek hafızayı yükleme esnasında Dosyalar ve Klasörler'i işaretleyeceksiniz.
Bu hafızalar dediğim gibi çokça veri saklar.
Analiz yaparken canlı bir sistem üzerinden elde edilen hafızalar, bu işi yapan uzmanların iş yükünü oldukça azaltır.
Atıyorum kötü amaçlı yazılım üzerinde çalışıyor olsak bile bellekte yapılan araştırmalar konu ile ilgili, bizlere istemediğimiz kadar delil verebilir.
Yazılımların linklerini bırakacağım.
IEF ekranından Görüntüler'e gelip yukarıda elde ettiğimiz ham veri dosyasını yükleyeceğiz.
Yüklediğimizi varsayıyor ve devamına geçiyorum.
Arama yapmak istediğimiz herhangi nesneleri de seçebilme imkanı veriyor bize bu yazılım.
IEF ile search işlemi bitince, Rapor Görüntüleyici analiz edilen hafıza içerisinde aranan, saklanan bir dosyayı gösterecektir.
Bellek yüklendiği takdirde Görüntüleri seçeceğiz demiştim.
IEF buradan bulduğu bütün delilleri rapor şeklinde sunacaktır.
Sunulanları dosya şeklinde karşılamak isterseniz,
.dmp uzantılı incelenecek hafızayı yükleme esnasında Dosyalar ve Klasörler'i işaretleyeceksiniz.
Bu hafızalar dediğim gibi çokça veri saklar.
Analiz yaparken canlı bir sistem üzerinden elde edilen hafızalar, bu işi yapan uzmanların iş yükünü oldukça azaltır.
Atıyorum kötü amaçlı yazılım üzerinde çalışıyor olsak bile bellekte yapılan araştırmalar konu ile ilgili, bizlere istemediğimiz kadar delil verebilir.
Yazılımların linklerini bırakacağım.
Kod:
https://www.magnetforensics.com/resources/magnet-ram-capture/
https://www.magnetforensics.com/free-trial/?magnet-product=Magnet%20AXIOM&option=free-trial