volatility Etiketli Yazılar

BGA Blog yazıları

Linux Sistemlerde Bellek Analizi – II (Ağ Hareketleri)
2014

Linux Sistemlerde Bellek Analizi – II (Ağ Hareketleri)

Olay müdahale süreçlerinde bellek analizine başlanması gereken nokta saldırının türüne göre değişse de, çoğu durumda zararlının bir C&C ile haberleşmeye çalıştığı göz önünde bulundurularak analize ağ hareketlerinden başlanabilir. Hedef sistem için oluşturulan profili (bkz: Volatility’e “export VOLATILITY_PLUGINS=../capture/remnux-2014-09-26_07.57.52/“ komutuyla VOLATILITY_PLUGINS çevre değişkeni atanarak tanıtılır. İlk olarak “./vol.py -f /media/usb/capture/remnux-2014-09-26_07.57.52/remnux-2014-09-26_07.57.52-memory.lime --profile=Linuxremnux-2014-09-26_07_57_52-profilex86 linux_ifconfig” ile sistemdeki ağ arayüzleri listelenir. Pratiklik adına bellek dökümünün yolunu gösteren -f parametresi ve kullanılan profili belirten —profile parametresi yine çevre değişkeni…
Devamı
bellek dökümü
2014

Modern Linux Sistemlerde Bellek Dökümü Alma ve Volatility Profili Oluşturma

Modern Linux sistemlerde varsayılan olarak gelen güvenlik sıkılaştırmalarından dolayı ptrace, /dev/mem, /dev/kmem gibi hafıza dökümü elde etme yöntemleri kullanılabilirlik ve verimlilik açısından yetersiz kalmaktadır. Güvenlik önlemlerine takılmadan başarılı bir bellek dökümü elde edebilmek için sisteme bir kernel sürücüsü yüklemek gerekmektedir. Bu mantıkla çalışan LiME aracı kullanılarak modern Linux sistemlerde tam bir bellek dökümü elde edilebilir. Tabi ki sistem bir sanal makine üzerinde çalışıyorsa sanallaştırma platformunun imkanlarını kullanarak doğrudan bellek dökümünü almak mümkün…
Devamı