Volality’yi ilgili ram analizi yapmamızı sağlayan araç olarak tanımlayabiliriz. Bu yazıda inceleyeceğimiz imajın isminin memdump.mem olduğu varsayılmıştır.
Komutları Listele:
volatility -h
Ram imajı hakkında bilgi verir ve profil önerisinde bulunur.volatility -f ./memdump.mem imageinfo
İmaj profilini öğrendikten sonra bütün komutlarımız şu şekilde başlayacaktır:
volatility -f /root/Desktop/memdump.mem –profile=Win2016x64_14393
Vereceğimiz komutların hepsini bu koda ekleyeceğiz örneğin çalışan processlerin bir listesini almak için;
volatility -f /root/Desktop/memdump.mem –profile=Win2016x64_14393 pslist
Şimdi en çok kullanılan komutların bir listesini komutun başını yazmadan inceleyelim:
Çalışan Process Hakkında Bilgi: pslist – pstree – psscan – dlllist – psxview
Ağ bağlantılarının listesi: netscan – connections – connscan – sockets
Processlerin yetkilerini listeler: getsids
Çalışan servisler listesinin bir kısmı: svcscan
Registery Kayıtları: hivelist – printkey – hivescan
Registery dump: hivedump – dumpregistry
Windows hashleri: hashdump -y SYSTEM -s SAM (hivelist ile edinilen virtual adresler verilir)
Konsol komutlarını verir: consoles – cmdscan
Processlerin hangi komutla başlatıldığını verir: cmdline
Default parolaları (Autologin vs) dump eder : lsadump
Clipboard bilgisini verir: clipboard
Memorydeki dosyaları çıkarır: dumpfiles
Memorydeki dosyaların listesini verir: filescan
Memorydeki process’i dump eder : procdump – memdump
Son kapatılma zamanı: shutdowntime
Notepad içindeki yazıyı verir: notepad (Her zaman çalışmaz)
Son açılan uygulamalar: shellbag
Sık kullanılan uygulamaların listesi: userassist
Internet Explorer Geçmişi: iehistory
Yarascan Usage:
Tüm processlerde ascii arama yapar: yarascan -Y “http”
Arama yapılacak PID belirleme: –wide -p 428
Kernelde arama yapma: –kernel -Y “{80 CD 71}” –kernel
Regex kullanımı: -Y “/t[a|b]s{1,3}t/”
Bazı Örnekler:
Tüm memoryde URL taraması yapar:
yarascan -p 3004 -Y “/[a-zA-Z0-9\-\.]+\.(com|org|net|mil|edu|biz|name|info)/”
Registery Scan: (hivelist ile elde edilen adresler kullanılır)
printkey -K “Microsoft\Windows\CurrentVersion\Run”
printkey -K “Microsoft\Windows\CurrentVersion\Runonce”
printkey -K “Microsoft\Windows NT\CurrentVersion\Winlogon
Malware Scan with Registry Scan:
printkey -K “Microsoft\Windows NT\CurrentVersion\windows” –> check AppInit_DLLs entries
printkey -K “Classes\.exe\shell\open\command”
printkey -K “Classes\exefile\shell\open\command”
printkey -K “Software\Microsoft\Command Processor\AutoRun”
Memoryden dump edilen dosyalarda genelde strings ile arama yapılır.
Arama bazı processlerde little endian olarak yapılmalıdır.
Chrome History File (Sqlite) (Filescan ile adresi bulunabilir)
C:\Users\<name>\AppData\Local\Google\Chrome\User Data\Default\History
Foremost aracı da memoryden file headerlarına göre veri çıkarmak için kullanılabilir.
Mimikatz ile memoryden password çekme:
cd /usr/share/volatility
mkdir plugins
cd plugins
wget https://raw.githubusercontent.com/dfirfpi/hotoloti/master/volatility/mimikatz.py
apt-get install python-crypto
volatility –plugins=/usr/share/volatility/plugins –profile=Win2016x64_14393 -f halomar.dmp mimikatz
(Bazı python modülleri yüklü olmadığından eski modüller pip ile kurulmalıdır)
AppmemDumper aracı ise bir çok yazılımı analiz ederek ram imajından bilgileri çıkartmaktadır metin belgesinden de 3 farklı yöntem kullanarak metin elde etmeye çalışmaktadır.
Daha detaylı bilgi için ise: RTFM , Diğer
Cold Boot Attack…