Notes

[SIZE=5][B]Ram’ den İmaj Almak[/B][/FONT]
Sa, CW ailesi bugün sizler için ram’ den imaj almak nedir, neden imaj alırız ve imaj almanın önemi gibi bir çok konuya değinip bilgim dahilinde sizleri aydınlatmaya çalışacağım. Kaynakların kısıtlı olması ve konunun da temel olması makalenin ayrıntılı veya daha gelişmiş olmasının önüne geçti fakat elimden geldiğince sağlam bir makale sunmaya çalışacağım, umarım beğenirsiniz.

Öncelikle ana karakterimizi tanımlayalım. Ram (Random Acces Memory) yani rastgele erişim belleği bilgisayarınızın şu anda kullandığı verileri depolamak için kullanan bir bellektir. Bir nevi beyin görevi gören bir tür veri depolama alanıdır. Özet geçecek olursak bir defadan daha fazla görev yapabilmenizi sağlar. RAM kısa süreli bir bellektir yani HDD gibi depolanan veriler kalıcı olarak saklanmaz. Tüm program ve veriler önceden bir girdi biriminden RAM’ e aktarılıp burada işlenir. RAM bilgisayara fps vermez fakat bilgisayar zorlandığında veriler tam aktarılamaz bu durumda devreye girip donmaları ve takılmaları önler. Bu yüzden oyun bilgisayarları için çok önemli bir parçadır. Şimdi de diğer karakterimiz adli bilişimi incelememiz gerek. Adli bilişimin misyonu bir suçu aydınlatmak için zanlının elektronik cihazlarını inceleyip delil niteliği sunabilecek verileri yakalamaktır. Yeni yapılanmakta ve geleceği parlak olan bu sektör için yazdığım makaleme [URL=https://www.cyber-warrior.org/Forum/display_topic_threads.asp?ForumID=85&TopicID=619163]buradan[/URL] ulaşabilirsiniz.
Şimdi biz ne yaparız da bu kısa süreli belleğin içindeki verilerin imajını alırız. Gelin bunu birlikte inceleyelim. RAM üzerindeki verilerden imaj almak, adli bilişimin bel kemiği sayılabilecek kadar önemlidir. Çünkü RAM, bellekler üzerindeki bir çok önemli bilgiyi barındırmaktadır. Bu verileri kaybetmeden kopyasını almayı bilmeli ve nasıl analiz edeceğimizi öğrenmeliyiz. Şimdi RAM imajını almayı ve analiz etmeyi öğrenelim. Öncelikle RAM imajının ne olduğunu ve nasıl analiz edileceğini bilmeliyiz.
[SIZE=4][B]RAM Analizi[/B][/FONT]
Adli bilişimde incelemeye alınan sabit disk gibi çeşitli materyaller delil niteliği taşıyan veriler sunmayabilir. Bu durumda RAM incelemesiyle aşağıdaki bilgiler dahilinde çeşitli verilere erişim kazanılabilir:
· Sistemde çalışan prosesler
· Çalışan proseslerin ne zaman ve hangi kullanıcı tarafından başlatıldığı
· Gizli programlar
· Aktif Network bağlantıların durumu
· Kullanıcı şifreleri
· Encryption Anahtarları
· Kaydedilmemiş dökümanlar
· Yakın geçmişte gerçekleşen internet üzerindeki aktiviteler. veya mailler


[SIZE=4][B]RAM İmajı[/B][/FONT]
RAM bellek verileri geçici olarak depolar. Bilgisayarlar o an çalıştırdıkları program ve işlemlerle ilgili bilgileri depolar. Sabit disk ve işlemci karşılaştırıldığında işlemci veri okuma/yazma işlerinde galip gelecektir. Bu yüzden ikisinin arasındaki farkı minimalize eden RAM kullanılır. Haliyle RAM üzerinden bir çok veriye ulaşılabilir.
[SIZE=4][B]Nasıl RAM İmajı Alabiliriz ?[/B][/FONT]
Şimdi gelelim konunun en can alıcı noktasına. Daha önce de belirttiğim gibi RAM üzerinde depolanan veriler geçicidir. Bu yüzden polisler bir yere baskın yaptığında bu verileri kaybetmemek için bilgisayarı açık bırakır. RAM, bilgisayar kapatıldığında sıfırlanmaktadır. Hatta cryptolocker gibi çalışan ransomware’ ler, eğer bilgisayar kapatılmadıysa RAM imajında key’ i kurtararak şifrelenmiş dosyaların açılmasını sağlayabilir. Böyle bir durumla karşılaştığınızda RAM imajı almakta fayda var.Tabi bu sadece RAM’ e özel bir durum değildir, bilgisayar üzerinde bulunan bir çok donanım üzerinde bulunan veriler kısa ömürlüdür. Bu tür veriler hakkında geniş bilgi edinmek için RFC3222’ i inceleyebilirisiniz. https://tools.ietf.org/html/rfc3227
[SIZE=4][B]RAM İmajı Almak İçin Kullanılabilecek Bazı Toollar[/B][/FONT]
Bu başlık altında RAM imajı almak için kullanılabilecek en popüler ve etkili programları derleyip, hakkında kısaca bilgi vermek istedim.
[B]Win32DD[/B]
Açık kaynak kodludur. Hollanda’ nın adli tıp enstitüsünde geliştirilmiş olmakla birlikte komut satırından çalışıp az seviyede proses kullanarak RAM üzerindeki bilgileri en az oranda müdahale eden programdır.
Bir medya vesilesiyle sistem üzerinden çalıştırılabilir. Komut satırı kullanması ve sistem üzerindeki DLL dosyalarını kullanması tercih sebebiniz olabilir. Ayrıca 32 ve 64 bit sistemlerle uyumludur.
BURADAN ulaşabilirsiniz. http://win32dd.msuiche.net/
[B]Encase Forensıc İmager[/B]
Guidance Software firması tarafından üretilmiştir. Ücretli bir yazılımdır fakat ram üzerinden imaj alma işlemi ücretsiz olarak gerçekleştirilebilir. Maalesef sistem üzerinde kurulum yaparak RAM bellek üzerinde çok fazla proses kullanır. Bu da belleğe kalıcı zarar verebilmektedir.
BURADAN ulaşabilirsiniz. https://goo.gl/Nm2eBJ





[B]FTK İmager[/B]
AccesData firmasının ücretsiz bir ürünüdür. Sistem üzerinde belleğin birebir kopyasını alabilirsiniz. Bunun adli bilişimde karşılığı bit to bit’ tir. Direkt takıp çalıştırarak bir medya üzerinden kullanmaya başlayabilirsiniz. Burada bırakmak istediğim bir dipnot olacak. RAM üzerideki verileri kaybetme riskinizi azaltmak için daha az proses çalıştırmaya özen göstermelisiniz. Proses girdileri çıktıya dönüştürmektedir. Daha yalın bir dille açıklayacak olursak proses süreçtir diyebiliriz.
BURADAN ulaşabilirsiniz. http://www.accessdata.com/product-download
[B]RAM Capturer[/B]
Belcasoft® | Forensic made Easier adlı bir firma tarafından üretilmektedir. Bu da düşük proseli olmakla beraber tek bir sağ tık ile RAM’ in imajını almanızı sağlyacak özel bir programdır. Fakat burada da bir dipnot düşerek kurulum dosyası ile birlikte gelen .sys dosyasına ihtiyaç duyduğunu da belirtmek isterim.
BURADAN ulaşabilirsiniz. https://belkasoft.com/ram-capturer
[B]Dumplt[/B]
Terminal ile kontrol edilen ücretsiz bir yazılımdır. MoonSols tarafından geliştirilmektedir. Sözü fazla uzatmadan:
BURADAN ulaşabilirsiniz. https://www.downloadcrew.com/article/23854-dumpit

[SIZE=4][B]Bazı Toolların Karşılaştırması[/B][/FONT]
Aşşağıda bazı toolların kullandıkları bellek boyut belirtilmektedir.
.
.
. GÖRSEL
Yukarıdaki tablodan bir çıkarım yapmanıza yardımcı olayım. RAM üzerinde daha az proses kullanıp daha az yer kaplayan yazılımlar RAM bellekte bulunan verilere daha az oranda zarar vermektedir.






[B]Bazı Araçların Sunduğu Özellikler[/B]

[B]Belkasoft Evidence Center[/B]
Araç kiti, sabit sürücüleri, sürücü görüntüleri, bellek dökümlerini, iOS'u, Blackberry ve Android yedeklerini, UFED, JTAG ve ayrık dökümleri analiz ederek çoklu kaynaklardan dijital delil çıkartıyor. 100'den fazla mobil uygulama, büyük belge biçimleri, tarayıcılar, e-posta istemcileri, düzinelerce resim ve video biçimi, anında mesaj gönderen, sosyal ağlar, sistem ve kayıt defteri dosyaları, P2P ve dosya aktarım araçları gibi 700'den fazla eser keşfeder.
İnternet Evidence Finder
Sabit disk üzerindeki verilerin analizin yapmakta olan bir JADsoftware ürünüdür. Ücretli bir yazılım olmakta ve bazı özellikleri şu şekilde sıralanabilmektedir.
- Sosyal Ağ Analizi (Ör. Facebook)
- 80+ Anlık mesajlaşma uygulaması analizi.
- Peer-to-peer bağlantı analizi.
- Bir çok bulut sistemi analizi.
[B]Volatility[/B]
Sanırım Python ile yazılmış tek RAM analiz programı. Hakkında çok az kaynak var sanırım bunun için ilk Türkçe kaynaklardan birini çıkartmış olacağız. Henüz 2.0’ dan 2.6’ ya kadar sürümü yayınlanmıştır. MAC OS, Linux ve Windows gibi bir çok platformu desteklemektedir. Bu proje 2007 yılında Volatilite Vakfı tarafından ortaya çıkmıştır. Bazı özellikler şu şekilde sıralanabilir.
- Çekirdek Modülleri
- Açık ağ ve port analizi
- Ayrıntılı dosya ve kayıt defteri analizi
- Çalışan işlem ve uygulama tespiti
[B]Bazı Programların Kullanımı[/B]
Yeterince teknik bilgi verdiğimi düşünüp uygulamalı anlatım yapmak istiyorum. Burada bazı programların nasıl kullanıldığını anlatacağım.
[B]Dumplt[/B]
Komut satırıyla birlikte çalışan dumplt karşımıza böyle bir soru çıkartıyor. Çıkış yapmak için “n”
İmaj almak için “y” diyoruz.
- FOTOĞRAF
İşlem bitince succes diyor ve programı kapatıp imajımızı klasöre kopyalıyor. Ancak görüntüleyebilmek için adminstrator yetkisi almalısınız. Bunu unutmayın ! Adminstrator yetkisinin nasıl alındığını BURADAN öğrenebilirsiniz. https://www.ozengen.com/windows-admin-yetkisi-nasil-verilir/
- FOTOĞRAF


[B]Ram Capturer[/B]
Hatırlarsanız bir .sys dosyası ile çalıştığını belirtmiştim. O .sys dosyasını ve dosya boyutlarını da göstereyim dedim.
- FOTOĞRAF
Maalesef çözemediğim bir uyumluluk sorunu aldığımdan bu kısmı alıntı fotoğraf olarak paylaşmak zorundayım. Sisteminizi bit mimarisine göre 32 veya 64 bit seçiyorsunuz daha sonrası klasik.
- FOTOĞRAF
Capture butonuna tıklıyorsunuz. Analiz sonrası gerekli imaj klasöre düşecek.
- FOTOĞRAF
Bu programlar hakkında daha fazla bilgi vermek istemiyorum. Çünkü gayet basit bir mantıkla çalışıyorlar ve hepsi aynı. Ancak ayrıntılı incelemelerini ve derslerini profesyonellerden izlemelisiniz. Ki onlarda hep yabancı. Eğer bu alan için yeterli ilgiyi gösterirsem Türkçe videolar da çekeceğim.
[SIZE=4][B]Kıssadan Hisse[/B][/FONT]
RAM imajı almayı, RAM imajı almanın önemini, RAM imajı ile nelere ulaşılabileceğini ve daha bir çok konuya değinerek sizleri aydınlatmaya çalıştım. Sözü fazla uzatmadan burada kesiyorum. Umarım beğenmiş ve bilgilenmişsinizdir.
Sağlıcakla kalın, hacking ile kalın…