Bu yazımda Volatility ile RAM imajını inceleyeceğim. Volatility aracında en faydalı olan parametreleri kullanacağım. RAM’in önemini belirtmiştim. Bununla ilgili blog yazıma ulaşmak isterseniz buradan ulaşabilirsiniz. Diğer bir yazımda ise RAM imajının nasıl alındığı ile ilgili bilgilerimi aktarmıştım ve buradan ulaşabilirsiniz.
Volatility Windows, Mac OS ve Linux işletim sistemleri üzerinde çalışabilmektedir. Volatility aracını resmi https://www.volatilityfoundation.org/26 adresinden indirebilirsiniz. İşlemlerimi Windows işletim sistemi üzerinde gerçekleştireceğim. Bu işlemlere geçmeden önce eliminde RAM imajı bulunması gerekmektedir. RAM imajını anlattığım blog yazımdaki Dumplt aracıyla gerçekleştireceğim. RAM imajını ve Volatility resmi sayfasından indirmiş olduğum aracı Windows işletim sisteminde Masaüstüne bırakıyorum.
Windows İşletim Sisteminde Volatility Kullanımı
Bilgi Toplama – imageinfo
Analize başlarken ram imajının bilgilerini toplamamız gerekmektedir. Bu işlemi vol.exe –f memory.raw imageinfo komutu ile gerçekleştiriyoruz. Bu işlem sonucunda işletim sistemi bilgisi, KDBG değeri gibi işlemlerimizde kullanacağımız bilgileri toplamış oluyoruz.
KDBG
Hata ayıklama amacıyla Windows çekirdeği tarafından tutulan bir yapıdır. Çalışmakta olan süreçlerin ve yüklenen çekirdek modüllerinin listesini içerir. Ayrıca hangi hizmet paketinin yüklendiğini ve bellek modeli(32-bit & 64-bit) belirleyebilmenizi sağlayan bazı sürümleri barındırır.
Çalışan Prosesleri Listeleme – pslist
Bu işlemde sistem üzerinde çalışan bütün prosesleri listelenecektir. Çalışan prosesleri listelemek için vol.exe 0xf80002c410a0L –f memory.raw –profile=Win7SP1x64 pslist yazarak çalışan prosesler listeleniyor. Liste içerisinde Dumplt.exe görünüyor. O an ram imajını almak için kullandığımız aracın ram belleğinde tutulduğunu anlayabiliriz.
Proses işleyişi – pstree
Diğer bir işlem pstree komutu çalışan proseslerin ağaç yapısını yani ardından açılan başka bir proses varsa onları görüntülemeye yarayan bir komuttur. Vol.exe 0xf80002c410a0L –f memory.raw –profile=Win7SP1x64 pstree ile işlemi gerçekleştiriyoruz.
Proseslerin Barındığı Ağlar – netscan
NETSCAN komutunu kullanırız. Bu komut tarama, TCP bitiş noktalarını, TCP dinleyicilerini, UDP uç noktalarını ve UDP dinleyicilerini bulur. IPv4 ve IPv6 arasında ayrım yapar, yerel ve uzak IP’yi (varsa), yerel ve uzaktaki bağlantı noktasını (varsa), soketin bağlı olduğu veya bağlantı kurulduğu zamanı ve geçerli durumunu (TCP bağlantıları için) gösterir..Vol.exe 0xf80002c410a0L –f memory.raw –profile=Win7SP1x64 netscan komutunu yazmamız yeterli olacaktır.
Komut İşlemcisinde Çalıştırılan komutlar – cmdline
Cmdline komutu ise komut işlemcisinde çalıştırılan prosesleri listeler. Listelendiğinde komut işlemcisinde neler çalıştırıldı bunun bilgisini verir. Burada da farklı işlemler görünebilir. Örnek vermek gerekirse çalıştırılan proses sonucu içerisinde javascript kodu ile sisteme bağlantı olup olmadığı teyiti verilebilir.Vol.exe 0xf80002c410a0L –f memory.raw –profile=Win7SP1x64 cmdline ile listelenir.
Dosya Yolunu Bulma – filescan
Filescan komutunda ise şüpheli bir dosyasının, uygulamanın yerini belirtmek için kullanırız.Vol.exe 0xf80002c410a0L –f memory.raw –profile=Win7SP1x64 filescan komutunu kullanabiliriz.
Volatility aracında bahsedeceklerim bu kadar umarım faydalı olmuştur. Diğer blog yazımda görüşmek üzere…