RAM Adli Bilişimi: İmaj Alma ve Analiz

RAM Adli Bilişimi: İmaj Alma ve Analiz

Adli bilişim uzmanları, bazı durumlarda canlı RAM imajı alması gerekmektir. RAM hafızası geçicidir ve sistem kapatıldığı zaman bilgiler büyük olasılıkla kaybolacaktır. Bu bilgiler; parolalar, yapılan işlemler, portlar, pano içeriği vb. olabilir. Sistemin gücü kapatılmadan veya taşınmadan önce bu bilgilerin yakalanması gerekmektedir.

Birçok harddisk, TrueCrypt gibi algoritmalarla şifrelenirler. Bu şifrelerin parolaları RAM’de tutulur. Harddisk şifrelenmişse bu bilgiler olmadan kullanılamayacağından dolayı verileri bulmak çok önemlidir.

RAM imajı almak için pek çok araç vardır. Access Data şirketi, FTK (Forensic Tool Kit) İmager’i ücretsiz olarak sağlamaktadır. FTK İmager’i Access Data’nın web sitesinden indirebilirsiniz. Biz de bu çalışmamız için FTK İmager kullanacağız.

FTK İmager ile RAM İmajı Alma

FTK İmager’i indirip kurduktan sonra, aşağıdaki gibi bir ekranla karşılaşırız.

Şimdi, “File” menüsünü tıklayınız ve “Capture Memory” kısmını seçiniz.

Aşağıdaki gibi bir pencere açılacaktır. RAM imajını nerede depolayacağınızı, dosya adını, sayfa dosyasını (sanal bellek) ve dahil etmek isteyip istemediğiniz bir AD1 dosyası (AccessData’nın özel veri türü) kısımlarını doldurmanız gerekecektir.

Biz “memdump.mem” adında isim ve “memory dumps” adlı bir dizin oluşturdum ve sayfa dosyasını ekledim, ancak bir AD1 dosyası oluşturmadım. Bu şekilde doldurmanızı tavsiye ederim.

Bunları tamamladıktan sonra “Capture Memory” kısmına tıklayınız.

Burada, imaj alma işlemini izleyecek bir pencere açacaktır. Sistemin RAM kapasitesi fazlaysa, bu biraz zaman alabilir.

Volatility İle RAM İmajı İnceleme

RAM imajını analiz etmek, sabit disk analizinden biraz farklıdır. RAM analizinin güzelliklerinden biri, imaj alma anında şüphelinin yaptığı işlemi yeniden oluşturabilme yeteneğidir.

RAM analizi için en yaygın kullanılan araçlardan birisi Volatility olarak adlandırılır. Kali Linux’ta yüklü olarak gelmektedir, bu yüzden indirmeye gerek yoktur. Aldığımız imajı Kali makinenize aktarınız ve analizimize başlayalım.

Kali kullanmıyorsanız, Volatility’i buradan adresinden indirebilirsiniz. Windows, Linux ve Mac OS X gibi neredeyse her platformda çalışacaktır.

Volatility’i kullanmak için /usr/share/volatility dizinine gidiniz

kali# cd /usr/share/volatility

Volatility bir python script’i olduğundan, komuta python ile başlamanız gerekecektir. Yardım sayfasını görüntülemek için şunu yazınız:

kali# python vol.py -h

ve eklentiler

RAM imajı üzerinde herhangi bir çalışma yapmadan önce imajın profilini görmemiz gerekiyor. Profil, her bir işletim sistemi bilgileri için farklı adres alanlarına yerleştirdiğinden dolayı imaj incelerken bilgilerin nerede bulunduğunu belirlemede yardımcı olacaktır.

Profili bulmak için yazınız:

kali# python vol.py imageinfo -f /root/Desktop/memdump.mem

Bu komut, işletim sisteminin profili ve diğer önemli bilgiler için RAM dosyasını inceleyecektir.

Yukarıdaki ekran görüntüsünde görebileceğiniz gibi Volatility, işletim sistemini Win7SP0x64 olarak tanımladı (Windows 7, servis paketi yok, 64 bit).

Artık bu bellek dökümünün profilini kurtardığımıza göre, Volatility’nin diğer işlevlerinden bazılarını kullanmaya başlayabiliriz. Örneğin, SAM dahil kayıt defteri kovanlarını listelemek istersek, hiveinfo eklentisini yazarak kullanabiliriz:

kali# python vol.py --profile Win7SP1x64 hivelist -f /root/Desktop/memdump.mem

Volatility’nin RAM’deki sanal ve fiziksel konumları dahil olmak üzere tüm dizinleri listeleyebildiğini unutmayınız.



Her işletim sistemi bilgileri RAM’de farklı yerlerde sakladığından dolayı görüntü profilini ayrıştırmak çok önemlidir. Volatility, gerekli bilgiler için RAM imajında nereye bakılacağını bilmek için profili (işletim sistemi, hizmet paketi ve mimari) bilmesi gerekir. Yanlış profil bilgileri girerseniz, Volatility, bilgileri düzgün bir şekilde ayrıştıramayacağını söyleyen hatalar atar. Bu durumda başka bir imaj profilini deneyin. Maalesef, bu aracın sağladığı profil, resmi olarak her zaman doğru olmayabilir.

Bir sonraki adımımız olarak RAM görüntüsünü yakaladığımızda şüphelinin çalıştırdığı işlemleri bulmaktır. Aşağıdaki komutu yazarak yapabiliriz:

kali# python vol.py --profile Win7SP1x64 pslist -f /root/Desktop/memdump.mem

Gördüğünüz gibi, Volatility çalışan tüm süreçleri ayrıştırdı. RAM imajınadn daha fazla bilgi toplamak için, eklentinin adını değiştirmek dışında yukarıdaki ile tamamen aynı komutu kullanabiliriz.

kali# python vol.py -h

Sistemde çalışan DLL’leri görüntülemek için aşağıdaki gibi dlllist eklentisini kullanıyoruz:

kali# python vol.py --profile Win7SP1x64 dlllist -f /root/Desktop/memdump.mem

Gördüğünüz gibi Volatility, çalışan tüm DLL’lerin bir listesini ayrıştırdı.

Bazen, şüphelinin panosundaki şeyler suçlayıcı olabilir. Aşağıdaki gibi pano eklentisini kullanarak şüphelinin RAM’indeki bilgileri alabiliriz.

python vol.py --profile Win7SP1x64 clipboard -f /root/Desktop/memdump.mem

Ne yazık ki, tüm bu bilgiler onaltılıktır ve ASCII’ye çevrilmelidir.

Çoğu zaman, bir şüphelinin suçlandığı eylemi gerçekten işlediğini kanıtlamak için, o sistemde meydana gelen olayların zaman çizelgesine ihtiyacımız olabilir. Bu zaman çizelgesi bilgisini aşağıdaki gibi timeliner eklentisini kullanarak RAM imajından alabiliriz.

kali# python vol.py --profile Win7SP1x64 timeliner -f /root/Desktop/memdump.mem

Her işlemin zaman damgalı olduğunu unutmayın.

Son olarak, şüpheli sistemin hafızasında çalışan herhangi bir kötü amaçlı yazılım olup olmadığına bakalım. Volatility, özellikle bu amaç için tasarlanmıştır. “malfind” olarak adlandırılan bir eklentiye sahiptir. Diğer kullandığımız Volatility eklentileri gibi kullanabiliriz

python vol.py --profile Win7SP1x64 malfind -f /root/Desktop/memdump.mem

Gördüğünüz gibi, bu şüphelinin sisteminde çalışan çok sayıda kötü amaçlı yazılım var. Kötü amaçlı yazılımın varlığı, başka birisinin sistemi ele geçirmiş olabileceğini tespit etmemizi sağlayabilir. Bu sayede şüphelinin suçlandığı eylemlerin araştırılmasında önemli etkiye sahiptir.

Volatility, bilgisayar ele geçirildiği sırada şüphelinin ne yaptığına dair kanıt bulmamızı sağlayan onlarca eklentiye sahip güçlü bir RAM analiz aracıdır.

Okuduğunuz için teşekkür ederim başka yazılarda görüşmek üzere 🙂

Kaynakça:

https://www.hackers-arise.com/post/2016/09/27/digital-forensics-part-2-live-memory-acquisition-and-analysis

Related Posts

Leave a Reply