RAM Imajı Alma ve Volatility ile İncelenmesi

Imaj Almak Neden Önemli?

Öncelik ile neden format atılmış bir diskin imajını alıp recovery yapıyoruz da, direkt olarak bu diskimizin üzerinde recovery programlarını kullanmıyoruz ?

Çünkü kullandığımız programlar diskteki verilerin bilgilerinin tutulduğu metadata bilgilerini değiştirir.Bir programla kurtaramayacağımız verileri başka bir programla kurtarmak bazen mümkün olabiliyor.Bunun için orjinal diskin metadata larını değiştirmemek zarar vermemek için imaj alıp imaj üzerinden işlem yaparız.

Bu işlem için DD ile Imaj alma yazımızı inceleyebilrisiniz. Bu yazımıda ise RAM Imajı yani Memory Dump alıp onu basitce incelemeye çalışacağız.

RAM  Imajı Almak Neden Önemli?

Ram bize bir bilgisayarın bilgierin gecici olarak kayıt edildiği hafıza birimidir. Bilgisayarın o anki çalıştırdığı procesler,dökümanlar,bağlı olduğu network,nerelere ziyaret edildiği hatta tarayıcı geçmişi gibi bilgiler elde edilebilir.

Bunun için polisler bir yere baskın yaptığında açık bilgisayar kapatılmaz ve hemen ram ımajı alınır. Disk Imajı alınırken kapatılması sorun yaratmamaktadır. Fakat RAM  bilgisayar kapatıldığında temızlenmektedir.

Hatta Cryptolocker saldırılarında bilgisayar kapatılmadıysa RAM Imajından Key i kurtarak bilgisayarın şifrelenmiş dosyalarının açıldığı örnekler bulunmakta. Böyle bir saldırı ilede karşılaşırsanız bilgisayarı kapatmadan hemen bir RAM Imajı almanızı tavsiye ederim.

RAM Imajı Alma

Windowsda Ram Imajı almak oldukça basit DumpIt ve Ram Capturer gibi toolar ile alabilirsiniz.

1-DumpIt ile RAM Imajı Alma

Dump It i tıkladığımızda önümüze bu terminal programı gelmekte ve bize devam etmek istediğimizden emin olup olmadığımızı soruyor buna y tuşuna basıyoruz ve ımajımız programın klasörünün içine alınmakta.

Ve sonunda success i gördüysek imajımız başarılı bir şekilde klasörün içine alınmıştır.

2-Ram Capturer ile RAM Imajı Alma

Ram Capturer programını indirdikten sonra 32 Bit ve 64 Bit seçenerekleri bulunmakta işletim sisteminize uygun klasöre girerek programı çalıştırıyoruz.

Capture butonuna tıklayarak Imaj almaya başlıyoruz. Tamamlandıktan sonra Close dıyerek programdan çıkabilirsiniz. Imaj programın klasörüne kaydedilmektedir.

2 Farklı program ile Imajımızı aldık.Artık alınan bu memory dumpları incelemek ve analiz etmeniz gerekmektedir.

Volatility ile Ram Imajı İnceleme

Volatility Kali Linux ta kurulu olarak gelmekte bunun dışında diğer dağıtımlardada paket depolarından kurabilirsiniz.

Şimdi Volatility ile incelememize başlıyoruz.

volatility -f 20170117.mem imageinfo

komutu ile ımajı alınan işletim sistemini tespit ediyoruz.

volatility -f 20170117.mem --profile WinXPSP2x86 pslist

işletim sistemimizi belirledikten sonra –profile ile girerek incelememize devam ediyoruz.pslist komutu ile çalışan procesleri listeyebiliriz.

volatility -f 20170117.mem  --profile WinXPSP2x86  dlllist

dlllist ekleyerek çalışan tüm dll leri listeleyebilirsiniz.

volatility -f 20170117.mem  --profile WinXPSP2x86  cmdscan

bu kez komutumuzun sonuna cmdscan diyerek kullanıcının cmd de çalıştırdığı komutları listeleyebiliriz.

volatility -f 20170117.mem --profile WinXPSP2x86 notepad

komutu ile notepad ile yapılmış işlemleri listeleyebiliriz.

Burada gördüğünüz gibi ctf.canyoupwn.me için hazırlamış olduğum CTF sorusunun cevabıda çıkmış oldu 🙂 Flag Base64 ile ekranımızda duruyor bunu decode ettiğinizde flag’e ulaşacaksınız.

volatility -f 20170117.mem  --profile WinXPSP2x86  iehistory

komutumuzun sonuna iehistory ekleyerek internet explorer geçmişinden nerelere ulaşıldığını bulabiliyoruz.

volatility -f 20170117.mem memdump --profile WinXPSP2x86 -p 580 --dump-dir=/root/Desktop/

çalışan bir procesi ayrı sadece onun dumpını dışar almak için -p ile onun pslist komut çıktısındaki PID numarası bulunur ve -p parametresi ile  belirtilir.O processin dumpını tek başına alabilirsiniz.

Basitce bu şekilde analiz ve incelemeler yapılabilmektedir.Daha başka bir çok parametre ve analiz metodları bulunmaktadır.Başka bir yazıda görüşmek üzere 🙂

Ahmet Gürel

Cyber Security Researcher | Penetration Tester

Leave a Reply