- Katılım
- 29 Mart 2020
- Mesajlar
- 5,843
- Tepkime puanı
- 0
- Takım
- KayseriSpor
Ram İmajı Nedir ?
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Sistemde çalışmak istenen bütün veriler geçici olarak RAM'e gönderilir adli analizlerde sistem analizinde kesin sonuç sağlamakla birlikte birkaç örnek verelim İmajı alınan (.raw) dosyamızı okunabilir verileri sınıflandırabilir şekilde sistematik hale getireceğiz. Kullanacağımız 2 farklı program mevcut biri RAM imajı alırkan bir diğeri imajdan bilgi toplama işlevi görecek olan Volatility framework'dür.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
RAM İçinde Ne Bilgiler Taşır ?
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
PS Listeleri
Yüklenen .Dll'ler
Aktif & Biten Bağlantılar
Son Yüklenen Yazılımlar
Yazılımların Bağlı Olduğu PID Değerleri
Son Kullanılan Uygulamalar
Sistem Çalıştırldığında İlgili İlk İşlemleri Gösterir
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Ram İmajı Alma ?
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Memdump aracını kullanacağız windows için Ram Capture aracı kullanılabilir kullanım hakkında bilgi ;
memdump [-kv] [-b buffer_size] [-d dump_size] [-m map_file] [-p page_size]
İnternetten git ile kurabilir veya paketlerden çekebilirsiniz ben kendi RAM analizimi yapmayacağım için konuyu bilgi dahilinde açıyorum.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
sudo apt-get install memdump ile indirip ;
lyxg@root:~$ memdump -h // parametresini kullanıp uygulama hakkında detaylı bilgiye erişebiliriz.
memdump: invalid option -- 'h'
memdump: usage: memdump [options]
-b read_buffer_size (default 0, use the system page size)
-k (dump kernel memory instead of physical memory)
-m map_file (print memory map)
-p memory_page_size (default 0, use the system page size)
-s memory_dump-size (default 0, dump all memory)
-v (verbose mode for debugging)
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Nedir Volatility ?
Alınan farklı RAM imajlarını inceleyen framework olarak tanımalabiliriz piyasadaki birçok framework'e göre güncelenebilir pulings bakımından YARA kuralları ile kullanılabilir kısaca içerik bakımından zengin bir sistem.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Linux içerisinde volatility kurulumunu yapalım ;
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
sudo apt-get install volatility (Ubuntu)
volatility -h ile tüm komutları listeliyoruz bir imajı incelemeden önce imajdan profil bilgisini almamız gerekmekte biraz örneklerle birlikte göstermeye çalışacağım
Profil bilgisini aldığınızı varsaydım ilgili parametremiz // volatility -f aaa.vmem imageinfo ile çalıştırılabilir profil listelerimizi deniyelim.
Kullanım hakkında ; volatility -f [image] --profile=[profile] [plugin]
Genel bilgi tanımını yaptıktan sonra framework'ün içinde biraz bilgi toplayalım.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
volatility -f cridex.vmem --profile WinXPSP2x86 dlllist // yazıp ilgili .dll çıktılarnı inceledim birkaç özelliğine daha bakacağım.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
volatility -f cridex.vmem --profile WinXPSP2x86 connscan // aktif-ölü bağlantıları izler
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
volatility -f cridex.vmem --profile WinXPSP2x86 iehistory
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
volatility -f cridex.vmem --profile WinXPSP2x86 pslist
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
volatility -f cridex.vmem --profile WinXPSP2x86 svcscan
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Daha fazla parametre kullanımları için https://github.com/volatilityfoundation/volatility adresini ziyaret edin.
Ram imajlarından bilgi toplama çalışmaları ve uygulamalı analiz hakkında Linux // Windows gibi işletim mimarilerinde gelişmek okunanı anlamak için benimde LAB ortamında alıştırmada kullandığım örnek bir GİT projesi vereceğim https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
