Post by Pesimistyle on Oct 18, 2017 17:52:59 GMT
Bu yazı dizimizde Linux sistemlere ait hafıza imajları üzerinde yapılacak analiz işlemlerini ele alacağız. Adli Bilişim incelemelerinin olmazsa olmazlarının başında gelir hafıza analizi. Müdahale edilen canlı sistemler üzerinden elde edilen hafıza imajında yapılan analizler ile çok değerli sayısal delillerin elde edilebileceği gösterildikten sonra adli bilişim uzmanları artık olay müdahalelerinde mutlaka hafızanın imajını almayı ve bu imajı analiz etmeyi süreçlerinin bir parçası haline getirdi. Şimdiye kadar genellikle Windows sistemlerin hafızalarına ilişkin adli analiz yöntemleri geliştirilmişti. Son zamanlarda artık Linux ve Mac OS X sistemlerin hafızalarının analizine ilişkin de çalışmaların yapıldığına şahit oluyoruz. Bu yazımızda bir Linux sistemin hafıza imajının nasıl alınacağına ve analiz edileceğine değineceğiz.
Eski sürüm Linux sistemlerinin hafızalarının imajlarını /dev/mem üzerinden elde etmek mümkünkenyeni sürüm Linux sistemlerde/dev/mem ile fiziksel hafızanın imajını almak artık mümkün değil.Bunun yerinehysteria.sk/~niekt0/foriana/fmem_current.tgz adresinden indirilebilecek fmem ile fiziksel hafızanın tamamının imajını alabiliriz. Bu çekirdek modülü indirildikten sonra sırasıyla aşağıdaki komutları çalıştırıyoruz. (Burada unutmamamız gereken önemli bir nokta da şudur; yapacağımız bu işlemler hafıza üzerindeki bir takım sayısal delillerin üzerine yazabilir. Fakat hafıza imajını almak için bu modülün yüklenmesi şart. Bunu kabul edilebilir bir değişiklik olarak görebiliriz. Aksi takdirde hafızadaki önemli sayısal delilleri elde edemeyeceğiz.)
$ make
# ./run.sh
Fmem modülünü yükledikten sonradd ile aşağıdaki şekilde fiziksel hafızanın imajını alabiliriz..
# dd if=/dev/fmem of=/mnt/haricidisk/SIFTWorkstationMemoryImage bs=1MB count=1024Hafıza imajını aldıktan sonra analiz aşamasına geçiyoruz. Analiz işlemi için Windows sistemlerin hafıza analizinde de kullandığımız volatility uygulamasını kullanacağız.Voltility’nin son sürümünü code.google.com/p/volatility/downloads/detail?name=volatility-2.3.1.tar.gz adresinden indirebilirsiniz. Bu sürüm ile birlikte desteklenen Linux dağıtım ve çekirdek sürümleri aşağıdaki tabloda gösterilmiştir.
Yukarıda yazılan dağıtım ve sürümlerden alınmış hafıza imajları üzerinde çalışmak için ilgili profil dosyasını indirmek gerekiyor. İlgili zip dosyalarını indirdikten sonra volatility/plugins/overlays/linux/ dizini altına kopyalamamız yeterli.Eğer hafıza imajını aldığımız Linux sistem, yukarıdaki tabloda yer alansürümlerden farklı bir sürümse bu durumda hafıza üzerinde volatility ile inceleme yapmak için kendi profil dosyamızı oluşturmak zorundayız.Profil dosyası özünde çekirdeğe ait veri yapıları ve debug sembollerinden oluşan bir zip dosyasıdır. Bu profil dosyasını oluşturmak için izlenecek adımlarise şöyle;
Volatility tarafından hangi profillerin tanındığını görüntülemek için aşağıdaki komutu çalıştırmak yeterli.
#python vol.py –info
Bu komutun çıktısına ilişkin örnek bir ekran görüntüsü aşağıda gösterilmiştir.
Bir sonraki makalemizde volatility kullanarak Linux sistemlere ait hafıza imajları üzerinde yapılacak analiz adımlarını ele alacağız.
Adli Bilişim