RAM Forensics: Ram İmajında SAM bilgileri nasıl tespit edilir ?

Ram imajı denilince akla gelen ilk yazılım volatility yazılımıdır. Volatiliy kali linux sisteminizde yüklü olarak gelmektedir. Bu yazılımın daha detaylı kullanımı sonraki yazılarımızda ele alınacak olup bugünkü konumuz için, Analiz edeceğiniz bellek dökümünün bir özeti için, imageinfo komutunu kullanıyoruz. Çoğu zaman bu komut işletim sistemini, hizmet paketini ve donanım mimarisini (32 veya 64 bit) tanımlamak için kullanılır, Volatility imageinfo –f ram.mem komutu ile imajın alındığı işletim sistemi ile ilgili bilgileri elde ediyoruz.

Suggested Profilleri Ram imajının alındığı işletim sistemini belirtmektedir.
–profile parametresinin kullanılması inceleme sürecinde daha sağlam sonuçları sunacaktır.
Aşağıdaki ekran görüntüsünde hivelist komutu ile ram imajı içerisinde bulunan SYSTEM, SAM, SECURİTY gibi önemli dosyaların ram imajı içerisinde bulunan yerini( virtual değerini ve Physcial değerini) elde ettik.

–hashdump parametresi ile –y SYSTEM dosyasının tutulduğu konum ve –s SAM dosyasının tutulduğu konumu belirtip içerisindeki bilgileri hash.txt dosyasına hashleri dump ediyoruz

hash.txt dosyasına bilgisayara kayıtlı kullanıcı adlarını plaintext olarak hashleri ise NTLM olarak kayıt edilmiştir.

Bu hashleri hashcat -m 1000 hash.txt /usr/share/wordlists/rockyou.txt   komutu ile kırabilirsiniz. -m parametresi hash.txt içerisinde bulunan hashlerin türünü belirtir. Hash türü ntlm olduğu için -m 1000 komutunu kullandık eğer ntlmV2 olsaydı -m 5600 komutunu kullanacaktık.

Şifremiz Aa123456 olarak bulunmuştur.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir