Windows için Bellek Toplama Araçları
Bellek toplama genellikle dijital adli bilişim analizinde ilk adımdır. Herhangi bir analiz yapılmadan önce, ilk önce hafızayı edinmemiz gerekir. Bilgisayar hafızasını edinmek için çok sayıda ticari çözüm var, ancak birkaç serbest ve hatta açık kaynaklı eşdeğeri de vardır.
UYARI!!!
Ram imajınızı asla işlem yaptığımız canlı sistemde saklamayınız, aksi takdirde kanıtları değiştirirsiniz. Cihaz kapatıldığında ise, RAM’de depolanan tüm bilgiler kaybedilir. Olay yerinde bu durumu şüpheliden önce hızlı analiz etmelisiniz.
Bellek analizi, bir sistem ve kullanıcıları hakkında birçok önemli bilgiyi ortaya çıkarabilir. Bellekte saklanan kanıtların hiçbir zaman sabit sürücüye asla yazılmadığı ve çoğu zaman yalnızca pagefile.sys veya hiberfil.sys‘de bulunabileceği durumlar vardır. Bellek analizi birçok kötü amaçlı yazılım ve izinsiz giriş olayı için önemlidir ve hemen hemen her PC araştırması için değerli kanıtları elde etmek için zorunlu olabilir. Çalışan işlemler ve programlar, aktif ağ bağlantıları, kayıt defteri kovanları, şifreler, anahtarlar ve şifresi çözülmüş dosyalar bellekte bulunabilecek kanıtlardan sadece birkaçıdır. Gmail veya gizli / gizli tarama modları gibi birçok web uygulaması verileri yalnızca bellekte depolar; bu da kanıtların sabit diskten kurtarılamayacağı anlamına gelir.
Kısa bir bilgiden sonra bu makalemde, hızlı olay yanıtlama işlemleri için bir USB Belleğe yerleştirmek üzere tasarlanmış beş bellek toplama yardımcı programını gözden geçireceğim.
Başlayalım!
1. Magnet RAM Capture
Magnet RAM Capture, XP, Vista, 7, 8, 10, 2003, 2008 ve 2012 de dahil olmak üzere hem 32 hem de 64 bit Windows sistemlerini destekler. Magnet RAM Capture, hoş ve basit bir GUI’ye sahiptir, böylece çalıştırması çok kolaydır. Bir .DMP uzantı ile ham bellek dökümü oluşturur . Tam fiziksel belleği hızlı bir şekilde alacak ve analiz edilen canlı sistemde küçük bir alan kaplayacaktır. Sistemim için 8 GB RAM dökümünü görüntülemesi yaklaşık 3 dakika sürdü.
Magnet RAM Capture Nasıl Çalıştırılır
Bellek toplama işlemi için Magnet RAM Capture’ın çalıştırılması çok basittir. Bir USB bellekten veya yerel makineden çalıştırılabilir.
Adli inceleme RAM imajı almaya başlamadan önce iki öğe hakkında bilgi belirtmeleri gerekmektedir: (1) Browse – yakalanan verilerin kaydedileceği yer ve (2) Segment size – dosyaların parçalanıp ayrılmayacağı. Parçalama varsayılan olarak kapalıdır, ancak yardımcı programı FAT32 biçimli bir USB bellekten çalıştırıyorsanız ve yakaladığınız ana bilgisayar RAM’i 4 GB’den büyükse, dosyalarınızı FAT32 maksimum dosya boyut sınırlamasına uyması için parçalamanızı öneririz. Magnet RAM Capture .DMP uzantılı ham veri dökümü oluşturmaktadır.
Görüntüyü USB’ye geri kaydediyorsanız, alınan bellek için yeterli alan olduğundan emin olmak istersiniz.
Konum ve segment boyutu seçildikten sonra, başlat tuşuna basabilirsiniz ve yardımcı program sistemin hafızasını almaya başlar. İlerleme çubuğu kalan zaman durumunu bize bildirmektedir. Ram hafıza alma tamamlandıktan sonra, çekilen hafıza, favori hafıza analiz aracınız hangisi ise onunla analiz edilebilir.
Magnet RAM Yakalama ile Toplanan Belleği Analiz Etme
Yardımcı program tarafından toplanan bellek ham bir veri formatında saklandığından, IEF, Volatilite ve Mandiant Redline gibi adli araçlarla analiz edilebilmektedir.
Bellek dökümünü IEF ile analiz etmek için IEF ekranından Görüntüler’i seçip ve Magnet RAM Capture ile edinilen ham .DMP dosyasını yükleyin.
IEF, RAM dökümünü yükler ve yapılandırılmamış ham verilerle ilişkili bir dosya sistemi olmadığından (varsayılan olarak) sektör düzeyinde bir arama gerçekleştirir.
Yüklendikten sonra, aramanıza eklemek istediğiniz hangi nesneleri seçebilir (her şeyi aramak en eksiksiz sonuçları verir) ve aramaya, yüklenen diğer tüm resim dosyaları gibi başlayabilirsiniz. IEF aramasının tamamlanmasının ardından, Rapor Görüntüleyici, bellek dökümü içinde bulunan herhangi bir eseri gösterecektir. RAM dökümü yüklendiğinde Görüntüler seçildiğinden, IEF fiziksel bir sektör olarak bulduğu kanıtları rapor edecektir. Sonuçları bir dosya ofseti olarak görmek istiyorsanız, .DMP dosyasını yüklerken Dosyalar ve Klasörler’i seçin.
Fiziksel hafıza, birçok bilgi saklar ve canlı bir sistemden hafıza yakalamak, herhangi bir araştırmacının iş akışının bir parçası olmalıdır. Bir kötü amaçlı yazılım enfeksiyonu, izinsiz giriş olayı veya IP hırsızlığı çalışıyor olsanız da, bellekte araştırmanız için çok önemli olabilecek kanıtlar bulunması zorunludur. Magnet RAM Capture, araç kitinize ekleyebileceğiniz hızlı ve ücretsiz bir araçtır ve en sevdiğiniz bellek analizi araçlarınızla mükemmel çalışır.
- Magnet RAM Capture’ı şimdi indirin.
- IEF hakkında daha fazla bilgi edinin.
2. Belkasoft Live RAM Capturer
Belkasoft Live RAM Capturer, XP, Vista, Windows 7 ve 8, 2003 ve 2008 Server dahil olmak üzere Windows’un tüm sürümleri ve sürümleriyle uyumludur. Programı yazanlar bellek kullanımını optimize etmek için ellerinden gelenin en iyisini yaptıklarını iddia etmektedirler. Adli incelemede bellek üzerinde kalan ayak izini olabildiğince en aza indirgemek için ayrı 32-bit ve 64-bit sürümleri mevcuttur. Araç, en ayrıcalıklı çekirdek modunda çalışmasına izin veren çekirdek sürücüleri ile birlikte gelir. GUI sayesinde kullanımı çok kolaydır. Varsayılan olarak hafıza görüntüsünü geçerli çalışma dizininde saklar. RAW formatında bir bellek dökümü oluşturur. Çıktı dosyasının adı, .MEM uzantıya sahiptir.
Bellek toplama işlemi için Belkasoft’tan ücretsiz bellek edinme aracını buradaki formu oldurup indirebilirsiniz: https://belkasoft.com/get?product=ram
Neden Bellek Dökümü
Bellek yığınları değerli bir delil ve geçici bilgi kaynağıdır. Bellek dökümleri, şifreli birimler (TrueCrypt, BitLocker, PGP Disk), birçok web postası için hesap oturum açma kimlik bilgileri ve Gmail, Yahoo Mail, Hotmail gibi sosyal ağ hizmetleri; Facebook, Twitter, Google Artı; Dropbox, Flickr, SkyDrive, vb. dosya paylaşım servisleri bilgilerini içermektedir.
Halihazırda ele geçirilmiş hafıza dökümlerinden geçici kanıtları çıkarmak için, adli bilişim uzmanlarının Belkasoft Evidence Center gibi uygun analiz yazılımlarını kullanmaları gerekir. Ayrıca, şifrelenmiş birimlere şifreleri çıkarmak için başka bazı araçlar da kullanılabilir (örn. Elcomsoft Forensic Disk Decryptor).
Aktif Hata Ayıklama ve Damping Önleme Korumasını Atlamak İçin Tasarlandı
Hata ayıklama koruması veya boşaltma önleme sistemi çalıştıran bir bilgisayardan geçici bellek almak zordur. Çoğu bellek toplama aracı sistemin kullanıcı modunda çalışır ve bu tür koruma sistemlerinin savunmasını atlayamaz (sistemlerin en ayrıcalıklı çekirdek modunda çalışan).
Belkasoft Live RAM Capturer, agresif bir hata ayıklama veya bellek önleme boşaltma sistemi çalışıyor olsa bile düzgün çalışacak şekilde tasarlanmıştır. Çekirdek modunda çalışarak Belkasoft Live RAM Capturer, nProtect GameGuard gibi en gelişmiş sistemlerle korunan uygulamaların adres alanını doğru bir şekilde alabilen bu koruma sistemleriyle aynı seviyede çalışan bir yazılımdır.
Belkasoft Live RAM Capturer, mümkün olan en küçük kaplama alanını sunar, kurulum gerektirmez ve bir USB flash sürücüden saniyeler içinde başlatılabilir. Sistemin kullanıcı modunda çalışan birçok rakip aracın aksine, Belkasoft Live RAM Capturer, aracın en ayrıcalıklı çekirdek modunda çalışmasına izin veren 32 bit ve 64 bit çekirdek sürücüleri ile birlikte gelir. Belkasoft Live RAM Capturer ile edinilen bellek dökümleri daha sonra Belkasoft Evidence Center Live RAM Analizi ile analiz edilebilir.
Yazılımı indirip USB Sürücü gibi harici bir ortama kopyalayın ve yakalamak istediğiniz sisteme takın. Ardından, yakalamak istediğiniz sisteme bağlı olarak, uygun sürümü Yönetici olarak çalıştır seçeneğini seçin.
Edindiğiniz ham veriyi analiz etmek için yine aynı firmanın diğer ürünü olan Belkasoft Evidence Center bulunan dijital kanıtların aramasını, analiz etmesini, saklamasını ve paylaşmasını kolaylaştırır . Bu yazılımı https://belkasoft.com/ec adresinden formu doldurarak indirebilirsiniz.
3. MoonSols DumpIt
MoonSols DumpIt, eski win32dd ve win64dd’nin bir araya getirilmiş haliyle yeni ve geliştirilmiş çalıştırılabilir bir dosyadır. Aynı zamanda MoonSols Windows Bellek Araç Takımı’nın bir parçasıdır. DumpIt, araştırmacı fiziksel olarak hedef sistemin önünde oturmasa bile, bir hafıza görüntüsü almanın kolay bir yolunu sunar. Teknik olmayan bir kullanıcıya sağlanacak şekilde tasarlanmıştır. Geçerli dizindeki fiziksel belleğin bir kopyasını oluşturmak için yalnızca çalıştırılabilir dosyayı çift tıklatarak onaylamanız yeterlidir. DumpIt daha sonra ana bilgisayarın fiziksel belleğinin anlık görüntüsünü alır ve DumpIt yürütülebilir dosyasının bulunduğu klasöre kaydeder. Ana bilgisayar adı, tarih ve UTC saati için adlandırılan .RAW uzantılı bir bellek görüntüsü ortaya çıkarır.
Bellek toplama işlemi için kullanılan DumpIt uygulamasının herhangi bir analiz yeteneği yoktur. Adli incelemeci bellek dosyasının içeriğini kötü amaçlı nesneler açısından incelemek için Volatilite, Rekall veya Redline gibi ücretsiz bellek adli araçlarını kullanabilir .
DumpIt ile araştırmacı fiziksel olarak hedef bilgisayarın önünde oturmasa bile, bir Windows sisteminin bellek görüntüsünü elde etmek için uzaktan bağlantı yolunu kullanabilir. Kullanımı çok kolaydır, her bir kullanıcı bile bu işlemi yapabilir. Tüm senaryolar için uygun değildir, ancak birçok durumda kesinlikle bellek edinmeyi kolaylaştıracaktır.
4. Rekall WinPMEM
Bellek edinme, bellek analizinde ilk adımdır. Herhangi bir analiz yapılmadan önce, ilk önce hafızayı edinmemiz gerekir. Bellek elde etmek için çok sayıda ticari çözüm var, ancak ne yazık ki açık kaynaklı çözümler terk edilmiş ya da korunamamıştır.
WinPMEM aktif olarak geliştirilmiş açık kaynaklı bir yardımcı programdır. Rekall Hafıza Çerçevesinin bir parçasıdır. Windows 2008 Server’dan 64 GB bellek görüntüsü alabilmektedir. Daha önce tarif edilen araçlarla karşılaştırıldığında, WinPMEM bir dizi ilginç özelliğe sahiptir:
- çıkış biçimleri: RAW bellek görüntüleri ve ELF Core döküm dosyaları
- ssh, netcat, 7zip gibi diğer aletlerle borulama için STDOUT çıkışına çıktı
- dört farklı yöntem kullanarak hafıza alımı
- Çekirdek veri yapılarını \.\pmemaygıt üzerinden yönetmek için isteğe bağlı yazma desteği
WinPMEM’i kullanmak biraz zordur. Yalnızca komut dosyası amacıyla ideal kılan komut satırından çalıştırılabilir. Komut dosyanız bir USB bellekte konuşlandırılabilir ve işi sizin için yapabilir.
5. AccessData FTK Görüntüleyici
FTK Imager, orijinal kanıtlarda değişiklik yapmadan verilerin kopyalarını oluşturarak, adli olarak sağlıklı bir şekilde veri (kanıt) elde etmek için kullanılan bir veri önizleme ve görüntüleme aracıdır. Verilerin bir görüntüsünü oluşturduktan sonra, ayrıntılı bir adli inceleme yapmak ve bulgularınızın bir raporunu oluşturmak için Forensic Toolkit (FTK) kullanılmaktadır.
AccessData FTK Imager ile 32bit ve 64bit sistemlerde canlı bellek ve disk belleği dosyası alabilir. Yazılımı https://accessdata.com/product-download/ftk-imager-version-4.2.0 adresindeki formu doldurarak indiriyoruz. AccessData FTK Imager yazılımının kullanımı için daha önce yayınladığım makalemden faydalanabilirsiniz. Makaleme ulaşmak için;
Yüklediğimiz yazılımın yukarıda resimdeki gibi “ Capture Memory ” butonuna tıklayınız.
Bir sonraki pencerede, ayıklanan dosyaları depolayacağınız dizini seçin ve “Belleği Yakala” düğmesine tıklayın
İşlemin bitmesini bekliyoruz. Çıkan veriyi Adli İnceleme Yazılımları ile analiz ediyoruz.
FTK hakkında ayrıntılar için ürün web sayfasını ziyaret edebilirsiniz.
