$type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no

$type=one$count=10 $type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no Yazılarımız DMCA lisansı ile korunmaktadır.Kaynak gösterilmeden alıntı yapılamaz.!

Takdir Ediliyorsan Değil Taklit Ediliyorsan Başarmışsındır.
Bumerang - Yazarkafe

DMCA.com Protection Status

Volatility ile RAM İmajı Nasıl İncelenir?





Merhaba Değerli Takipçilerim,

Bu yazımda, imajı alınmış RAM’i inceleyerek ne tür verilere erişebileceğimize dair bilgilere değiniyor olacağım. RAM imajının nasıl alındığı konusunda fikir sahibi değilseniz DumpIt ile RAM İmajı Alma İşlemi yazıma bakabilirsiniz.

RAM imajı Adli Bilişim açısından önemli bir konuma sahip olduğundan inceleme ile elde edilcek veriler olayları aydınlatmada oldukça işe yarayan bir kaynağa dönüşebilmektedir.

Volatility Windows, OSX ve Linux sistemler üzerinde çalışabilmektedir. Volatility’i http://www.volatilityfoundation.org/26 adresinden indirebilirsiniz. Linux ve OSX için “ Volatility 2.6 Source Code (.zip)” isimli dosyayı indirebilirsiniz ya da terminalden de yükleme işlemi yapabilirsiniz. Detaylı bilgi için buradaki adrese bakabilirsiniz.

KULLANIM

ÖNEMLİ NOT: Volatility kullanımında komutlar tüm platformalarda da aynıdır. Ancak sadece volatility’i başlangıçta çağırma komutları farklılık göstermektedir. Bu farklılıkların işletim sistemine göre nasıl olduğu aşağıdaki resimlerde görülmektedir. 

  • MAC
Volatility’i çalıştırmak için indirilen klasör içerisine gidilerek “vol.py” terminal üzerinde çalıştırılır. 



  • LINUX
İndirilen volatility klasörünün içerisine gidilerek terminalde “python vol.py” komutu çalıştırılır.



  • WINDOWS
Windows için indirilen klasörün içersine girilerek terminalde “volatility_2.6_win64_standalone.exe” çalıştırılır.


Başlangıç komutlarından sonraki tüm komutlar 3 platformda da aynı olduğundan bundan sonraki komut adımlarını kendi işletim sisteminiz üzerinde uygulayabilirsiniz.

Devam edelim...

İmaj Bilgisini Elde Etme

İmaja ait, imaj alınma tarihi ve sahip olduğu profil bilgisine erişmek için “ python vol.py  -f imajın_adresi imageinfo ” yazmak yeterlidir. Profil bilgisi işletim sistemi bilgisini tutmaktadır ayrıca imajı incelerken bize lazım olacaktır.


Çalışan Prosesleri Görme - pslist

Profil bilgisini elde ettikten sonra şimdi ise çalışan tüm prosesleri listeleyelim. Çalışan prosesleri listelemek için “python vol.py -f ~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 pslist” yazılarak işlem başlatıldı. Çalışan proseslerin offset değerleri, PID değerleri ve başlatılıp/sonlandırılma zamanı bilgilerine erişmek mümkündür.


Yukarıdaki proseslerin hangi program ya da işlemlere ait olduğunu merak ediyor iseniz isimlerini Google’da aratarak bulabilirsiniz. Örneğin yukarıdaki şekilde seçili olan alanda, RAM imajı aldığımı DumpIt programının o an bilgisayarda çalıştığını görebiliyoruz.

CMD Ekranına Yazılan Komutları Listeleme - cmdscan ve consoles

Kullanıcının bilgisayarı açıkken cmd ekranına yazmış olduğu tüm komutları cmdscan komutu ile elde edebiliriz. Örneğin kişi silme, dosya oluşturma, başka dizinlere erişme ya da herhangi bir işlemi komut ekranında yapmış ise bunlara erişebilmekteyiz. Görüntülemek için “python vol.py -f ~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 cmdscan” komutunu yazmak yeterlidir.


Daha detaylı görüntülemek için ise “python vol.py -f~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 consoles” komutunu kullanabilirsiniz.

Ağ Bağlantılarını Görüntüleme - connections ve connscan

Bilgisayarın o anki TCP bağlantılarını görüntülemek için “python vol.py -f ~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 connectionskomutunu yazmanız yeterlidir.

Bilgisayarın tüm bağlantılarını görmek için ise “python vol.py -f ~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 connscan” komutunu yazmanız yeterlidir.


Mevcut örnekler bu şekilde çoğaltılabiliriz ancak Volatility özellikleri çok olduğundan sizlere temel oluşturması açısından bu yazımı ele aldım. Eğer daha başka neler yapılabilir  ve nasıl yapılır diye merak ediyorsanız “python vol.py -h ” yazarak neler yapabilineceğini görüntüleyebilirsiniz ya da Google’u kullanabilirsiniz :)


Umarım sizler için faydalı bir anlatım olmuştur. Bir sonraki yazımda tekrar görüşmek üzere... Esenle kalın... 


YORUMLAR⤵

Ad

adli bilişim adli bilişim eğitimi Adli Bilişim İncelemelerinde Foremost ile Veri Kazıma İşlemi adli bilişim Malware adli bilişim mühendisi adlibilisim Android Hacking android hackleme android injection Android ve IOS İşletim Sistemlerinin Veritabanları ve Görevleri Nelerdir? cobalt strike analizi cobalt strike detect cobalt strike saldırısı cobalt strike tespiti digital forensic DumpIt DumpIt ile ram imajı alma dumpit indir foremost How detect Jigsaw Ransomware Malware ibrahim baloglu ibrahim baloğlu image live imaj canlandırma java JAVA ile Rss Üzerinden Veri Çekme Jigsaw Ransomware Malware jsoup kurulumu jsoup rss kodlama linux veri kurtarma live image malware Malware tespiti metasploit android hacking metasploit nedir mobil uygulamaların adli bilişim incelemesi Yaani Mail Uygulamasının Adli Bilişim Açısından İncelenmesi NTUSER.DAR ptt mesaj uygulaması ptt mesenger ptt mesenger indir ptt mesenger nedir ptt messenger purple team saldırısı ram ram imajı alma ram imajı nedir registry forensic registry parse rss veri çekme SAM sibergüvenlik SOFTWARE SYSTEM veri kurtarma volatility volatility ile ram inceleme volatility kullanımı volatility ram imajı windows forensic windows forensic eğitimi Windows şifresi elde etme yaani mail yaani mail adli bilişim incelemesi yani mail nedir yeni
false
ltr
item
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik: Volatility ile RAM İmajı Nasıl İncelenir?
Volatility ile RAM İmajı Nasıl İncelenir?
http://3.bp.blogspot.com/-8k-78IlNqk0/VMNnK9T4UJI/AAAAAAAAACM/NkdFg7W_oCc/s1600/volatility_banner.png
http://3.bp.blogspot.com/-8k-78IlNqk0/VMNnK9T4UJI/AAAAAAAAACM/NkdFg7W_oCc/s72-c/volatility_banner.png
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik
https://www.ibrahimbaloglu.com/2018/05/volatility-ile-ram-imaj-nasl-incelenir.html
https://www.ibrahimbaloglu.com/
https://www.ibrahimbaloglu.com/
https://www.ibrahimbaloglu.com/2018/05/volatility-ile-ram-imaj-nasl-incelenir.html
true
631381070093278817
UTF-8
Konu Bulunamadı. Tümünü Gör Devamını Oku Yanıtla Yanıtlamaktan Vazgeç Sil Yazar Ana Sayfa Sayfa Yazılar Tümünü Gör Size Özel Başka Önerilerimiz⤵ Etiket Arşiv ARANAN Aradığınız kelimeyle alakalı henüz bir konumuz yok :( Ana Sayfa Pazar Pazartesi Salı Çarşamba Perşembe Cuma Cumartesi Sun Mon Tue Wed Thu Fri Sat Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Şimdi 1 dk. önce $$1$$ dk önce 1 saat önce $$1$$ saat önce Dün $$1$$ gün önce $$1$$ hafta önce 5 haftadan önce