Adli Bilişim : RAM imajı Analizi

Ram imajı incelemede açık kaynak kodlu volatility (https://github.com/volatilityfoundation/volatility) yazılımı ile inceleme gerçekleştireceğiz. Volatility yazılımı hem linux hemde windows sistemlerde çalışabilmekte olup terminal üzerinden komutlar ile ram imajı incelenmesini kolaylaştırmaktadır.

Pslist
Bir sistemin işlemlerini listelemek için pslist komutunu kullanın. Bu, PsActiveProcessHead tarafından işaret edilen çift bağlantılı listeyi yürütür ve işlem başlatıldığında ve çıkıldığında ofset, işlem adı, işlem kimliği, ana işlem kimliği, iş parçacığı sayısı ve tarih / saat gösterir



Psscan
Havuz etiketi taraması kullanarak işlemleri numaralandırmak için psscan komutunu kullanın. Bu, daha önce sonlandırılmış (inaktif) ve bir rootkit tarafından gizlenmiş veya bağlantısız olan süreçleri bulabilir.

Bir işlem daha önce sonlandırıldıysa, Çıkış zamanı alanı çıkış zamanını gösterir. Gizli bir işlemi (DLL’lerini görüntülemek gibi) araştırmak istiyorsanız, en soldaki sütunda gösterilen EPROCESS nesnesinin fiziksel ofsetine ihtiyacınız olacaktır.



Dlllist
Bir işlemin yüklü DLL’lerini görüntülemek için dlllist komutunu kullanırız. Bir işlem LoadLibrary çağırdığında ve FreeLibrary çağrılana ve referans sayısı sıfıra ulaşana kadar kaldırılmadığında DLL’ler bu listeye otomatik olarak eklenir.

Getsids
Bir işlemle ilişkili SID’leri (Güvenlik Tanımlayıcıları) görüntülemek için, getsids komutunu kullanın. Diğer şeylerin yanı sıra, bu, kötü amaçlı olarak yükseltilmiş ayrıcalıklara sahip süreçleri tanımlamanıza yardımcı olabilir.

Chrome Web Tarayıcı Geçmiş Bilgileri(Processler Üzerinde Bilgi Toplama)

Google Chrome üzerinden girilen web siteleri kayıtlarını incelemek için Google chrome prosesinin pslist komutunda kullanmış olduğu pid değerleri bir liste şeklinde tutularak, pid değerleri komut satırında yazılan koda eklenerek  Google chrome prosesini inceleyeceğiniz anlamına gelmektir.

Arama şekli aşağıdaki ekran resminde ayrıntılı olarak gösterilmiştir.

Görüldüğü üzere Google Chrome tarayıcısında giriş yapılmış web siteleri aşağıdaki gibidir:

  • Firat.edu.tr
  • Gmail
  • Whatsapp

Google Chrome üzerinde yapılan aramalarda görüldüğü üzere sadece firat.edu.tr sitesine giriş yapılan siteler listeletilmiştir.

Web Whatsapp (Processler Üzerinde Bilgi Toplama)
Pslist araması ile herhangi bir prosesin işletim sistemine kurulu olup olmadığı kontrol edilebilir. Eğer incelemek istediğiniz prosesin ismi yada pid değerini biliyorsanız pslist komutunda grep araması yapılarak aranacak prosesin ismi yada pid= değeri yazılarak incelenecek prosesin işletim sisteminde bulunup bulunmadığı görülmektedir.

Görüldüğü üzere şahıs bilgisyarına whatsapp programını kurmuştur. Bunun kurulum olduğunu whatsapp.exe  dosyasının .exe olduğundan anlaşılmıştır.

Whatsapp.exe programın işletim sistemine kurulduğu tarih ve saat en sağ kısımda gösterilmektedir. UTC+0000 yazması bize kurulumun en sağda yazan kurulum tarihinden 3 saat geç olduğu göstermektedir. Yani 2018-03-14 tarihinden 11:29:12 saatinden yapılan kurulum esasında 14:29:12 saatinde yapıldığını göstermektedir.



Whatsapp programına ait dosya ve klasör yapısını görmek için, whatsapp’a ait dosyaları incelemek için filescan grep ‘whatsapp’ komutu kullanılır.

Yazı kopyalama

Clipboard –v parametresi kullanılarak incelenen ram üzerinde kullanılan işletim sisteminde işletim sistemi başlatılan tarih ve zamandan ram imajı alınan tarih ve zamana kadar kopyalanan yapıştırılan yazılar listelenmeye çalışılmıştır. Şekilde üzere görüleceği imajımızda herhangi bir sonuca rastlanılmamıştır.

Note Stiky Masaüstü Not Defteri

Not defteri incelemesi pslist komutu  üzerinde not defterinin kullanmış olduğu pid değeri veya ismine bakılmıştır. Pid deperi 1584 olarak görülen not defteri stikynot.exe olarak isimlendirildiği görülmüştür.

İşletim sistemi kullanılırken not defterinin kullanılıp kullanılmadığı ve son kullanılan not defterinin açılma tarihi incelenmiştir. İncelemeler neticesinde en son 2018-03-14 tarihinde 11:46:56 saatinde (+3)  not defteri açılmıştır.

StikyNot.exe dosyası incelenmesi için  ram dosyasından dışarıya dump edilmiştir.

Dışarıya dump edilen note 664 dmp dosyası dmp tool kullanılarak açılmıştır ve içeriği aşağıdaki şekil gibidir.

Dmp dosyasında grep araması yapılarak ‘kaan kelimesi aratılmıştır ve cevap olarak ‘kaanyeniyol cevabı dönmüştür.Bu bize şüpheli bir şahsın ismini yada soyismini kısacası herhangi bir bilgisini biliyorsak not defterinde bulabileceğimiz göstermiştir. Yani anlaşılacağı üzere işletim sisteminde bulunan not defterinin içeriği okunmuştur. Bu bize delil incelemesi yaparken not defterinin içerisinde suçlunun yada suç niteliginde bulunulan bir kişinin önemli bir bilgiyi not defterine gizleyebileceğini ve bunu şifreli dahi olsa şifresinin çözülüp içeriğinin okunabileceğini göstermektedir.

İndirilen Dosyalar
Ram imajında kullanılan işletim sisteminde indirilen dosyaları bulmanın en kolay yolu ‘Download’ klasörüne bakmaktır. Filescan komutu ile grep araması yaparak Download klasörünün var olup olmadığı ve var ise nerede olduğunu dosya yolu uzantısıyla gösterilmektedir. Download klasörünü dışarıya dump ederek not defterini incelediğimiz gibi .lnk dosyasını da tool ile inceleyip indirilen belgeleri bulabiliriz.

Shutdowntime
Ram imajında shutdowntime yani son bilgisayarın kapanma zamanı incelendiğinde 2018-03-14 tarihinde 11:10:58 (+3) saatinde olduğu  görülmüştür.

Netscan
Ram imajı incelenirken işletim sisteminde girilen web sitelerinin kullanılan portların ve ip adreslerinin yani kısacası net ile alakalı hertürlü ayrıntılı bilgiyi netscan ile görebiliriz. Aşağıda ram imajı alınan bilgisayarın ip ve port bilgileri gösterilmektedir. İp ve port bilgileri kullanılan uygulamalar ile birleştirilerek kullanılma tarihi ve saati de verilmiştir. Bu bize bir uygulamanın suç esnasında  yada şüpheli bir durumda kullanılıp kullanılmadığını veyahut ip ve portların kullanılıp kullanılmadığı ayrıntılı olarak göstermektedir.

Kullanılan ipler state durumlarına göre sıralanmıştır. Bunlar ise iplerin kullanıldığı programın hala aktif olup olmadığı ile ilgilidir. Çalışmayan kapatılmış proseslerin state durumu closed’tir.
Programların kullanmış olduğu ipleri bilmemiz bize kullanılan programı incelerken ip ile grep yapılması kolaylığını sağlar.
Görüldüğü üzere vmware, itunes, iexplorer, chrome gibi proseslerin açık olduğu ve işletim sisteminde kullanıldığı gözlenilmektedir.

Son Açılan Uygulamalar
Shellbags komutu ile bütün shellbag kayıtları uygulamaların isimleri ve en son açılan uygulamaların isimleri tarih ve saate göre gösterilmiştir. Belirttiğimiz gibi UTC +0000 zaman kavramı bize komut satırında belirtilen saatten 3 saat sonra olayın gerçekleştirildiğini belirtmektedir

Shellbag kayıtları  şüpheliye ait olabilecek en son açılan dosyalardır. Bu nedenle en son acılan dosyalar ve uygulamalar şüphelinin olayla ilgili bir işlem yaptığı dosyalar olabilir.

Shellbag ile en son açılan işlemlere örnek olarak;

  • Biometri
  • Flash oyunlar
  • Bagli liste
  • 10-15 tane jpeg dosyası (şüpheli şahsın kişisel resimleri olabiliceginden dışarıya dump edilebilir.)
  • Parmakizi dosyası gibi dosyalar bulunmaktadır.

Bilgisayar Açıldığında Otomatik Çalışan Uygulamalar
İşletim sistemi açıldığında otomatik olarak çalışan uygulamalar aşağıdaki listeletilmiştir.

Takılan Usbler
İşletim sistemi kurulumundan  bu yana  şüphelinin bilgisayarına takılan usb diskler görüntülenmiştir.

UserAssist
Windows, UserAssist altında, araştırmacıların bir sistemde son zamanlarda hangi programların yürütüldüğünü görmelerini sağlayan bir dizi kayıt defteri girdisi içerir. Bu, bir denetçinin, bir şifreleme veya silme aracı gibi belirli bir uygulamanın çalıştırılıp çalıştırılmadığını görmek istediği bir araştırmada çok değerli olabilir. 

Prefetch dosyalarından farklı olarak, UserAssist verileri, bir uygulamanın bir kısayoldan (LNK dosyası) veya doğrudan yürütülebilir dosyadan çalıştırılıp çalıştırılmadığı hakkında bilgi içerir. Bu, bir programın yürütülmesi etrafında ek bir bağlam ile denetçiler sağlar.

Kullanıcı Hesapları

Görüldüğü üzere regedit kayıtlarından config\sam dosyasının virtual adresini alarak hashdump edip ekrana işletim sisteminin kullanıcıları bastırılmıştır.

İşletim sisteminin kullanıcıları şu şekildedir;

  • Administrator
  • Guest
  • Samsung
  • Adlibilisimproje


1 Yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir