Bu yazımda, imajı alınmış RAM’i inceleyerek ne tür verilere erişebileceğimize dair bilgilere değiniyor olacağım. RAM imajının nasıl alındığı konusunda fikir sahibi değilseniz DumpIt ile RAM İmajı Alma İşlemi yazıma bakabilirsiniz.
RAM imajı Adli Bilişim açısından önemli bir konuma sahip olduğundan inceleme ile elde edilcek veriler olayları aydınlatmada oldukça işe yarayan bir kaynağa dönüşebilmektedir.
Volatility Windows, OSX ve Linux sistemler üzerinde çalışabilmektedir. Volatility’i http://www.volatilityfoundation.org/26 adresinden indirebilirsiniz. Linux ve OSX için “ Volatility 2.6 Source Code (.zip)” isimli dosyayı indirebilirsiniz ya da terminalden de yükleme işlemi yapabilirsiniz. Detaylı bilgi için buradaki adrese bakabilirsiniz.
KULLANIM
ÖNEMLİ NOT: Volatility kullanımında komutlar tüm platformalarda da aynıdır. Ancak sadece volatility’i başlangıçta çağırma komutları farklılık göstermektedir. Bu farklılıkların işletim sistemine göre nasıl olduğu aşağıdaki resimlerde görülmektedir.
- MAC
Volatility’i çalıştırmak için indirilen klasör içerisine gidilerek “vol.py” terminal üzerinde çalıştırılır.
- LINUX
İndirilen volatility klasörünün içerisine gidilerek terminalde “python vol.py” komutu çalıştırılır.
- WINDOWS
Windows için indirilen klasörün içersine girilerek terminalde “volatility_2.6_win64_standalone.exe” çalıştırılır.
Başlangıç komutlarından sonraki tüm komutlar 3 platformda da aynı olduğundan bundan sonraki komut adımlarını kendi işletim sisteminiz üzerinde uygulayabilirsiniz.
Devam edelim...
İmaj Bilgisini Elde Etme
İmaja ait, imaj alınma tarihi ve sahip olduğu profil bilgisine erişmek için “ python vol.py -f imajın_adresi imageinfo ” yazmak yeterlidir. Profil bilgisi işletim sistemi bilgisini tutmaktadır ayrıca imajı incelerken bize lazım olacaktır.
Çalışan Prosesleri Görme - pslist
Profil bilgisini elde ettikten sonra şimdi ise çalışan tüm prosesleri listeleyelim. Çalışan prosesleri listelemek için “python vol.py -f ~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 pslist” yazılarak işlem başlatıldı. Çalışan proseslerin offset değerleri, PID değerleri ve başlatılıp/sonlandırılma zamanı bilgilerine erişmek mümkündür.
Yukarıdaki proseslerin hangi program ya da işlemlere ait olduğunu merak ediyor iseniz isimlerini Google’da aratarak bulabilirsiniz. Örneğin yukarıdaki şekilde seçili olan alanda, RAM imajı aldığımı DumpIt programının o an bilgisayarda çalıştığını görebiliyoruz.
CMD Ekranına Yazılan Komutları Listeleme - cmdscan ve consoles
Kullanıcının bilgisayarı açıkken cmd ekranına yazmış olduğu tüm komutları cmdscan komutu ile elde edebiliriz. Örneğin kişi silme, dosya oluşturma, başka dizinlere erişme ya da herhangi bir işlemi komut ekranında yapmış ise bunlara erişebilmekteyiz. Görüntülemek için “python vol.py -f ~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 cmdscan” komutunu yazmak yeterlidir.Ağ Bağlantılarını Görüntüleme - connections ve connscan
Bilgisayarın o anki TCP bağlantılarını görüntülemek için “python vol.py -f ~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 connections” komutunu yazmanız yeterlidir.Bilgisayarın tüm bağlantılarını görmek için ise “python vol.py -f ~/Desktop/Baloglu_Ram.raw --profile=Win7SP0x64 connscan” komutunu yazmanız yeterlidir.
Mevcut örnekler bu şekilde çoğaltılabiliriz ancak Volatility özellikleri çok olduğundan sizlere temel oluşturması açısından bu yazımı ele aldım. Eğer daha başka neler yapılabilir ve nasıl yapılır diye merak ediyorsanız “python vol.py -h ” yazarak neler yapabilineceğini görüntüleyebilirsiniz ya da Google’u kullanabilirsiniz :)
Umarım sizler için faydalı bir anlatım olmuştur. Bir sonraki yazımda tekrar görüşmek üzere... Esenle kalın...