Memóriavizsgálat alapjai ingyenes forensic eszközökkel

A WebElektronika oldalain nagyon kevés figyelemet fordítottunk idáig a forensic témakörre. Ennek a témakörnek nagyon sok területe van, most a memória forensic-et tekintjük át. Egy Windows 7 operációs rendszerrel rendelkező virtuális gépen hajtunk végre egy memória dump-ot, amelynek az eredményét különböző vizsgálatnak vetjük majd alá. Megnézzük, megtalálható-e ebben (ha igen, hogyan) a bejelentkezett felhasználó jelszava, de megkeressük azt is, milyen utasítások kerültek kiadásra a command ablakban.

Ha például rosszindulatú kódokat keresünk a számítógépünkön, célszerű megvizsgálni a számítógép memóriájának a tartalmát. Szintén sokat segíthet a memóriaelemzés akkor, ha arra vagyunk kiváncsiak, miért fagyott le a számítógépünk, stb.
Ahhoz, hogy a memóriavizsgálatot el tudjuk kezdeni, szükségünk van egy memóriamentésre, amelyet szokás "memória dump"-nak is nevezni. Erre több ingyenes program is létezik, alkalmazhatnánk akár a DumpIt-ot is. Sajnos ez a program csak 4GB-ig használható, ezért célszerű inkább a Belkasoft ingyenes alkalmazását letölteni.

Indítsuk el a Belkasoft ingyenes Live RAM Capturer alkalmazását, majd adjuk meg a mentésnek a helyét. Ezután kattintsunk a "Capture!" nyomógombra (1. ábra).

kep
1. ábra Memóraidump készítése a Live RAM Capturer alkalmazással

El is készült a memóriadump-unk, most már az analizálást el tudjuk kezdeni. Ehhez a feladathoz a "Volatility Framework"-öt fogjuk használni, amely ingyenes, és itt tölthető le.

A letöltés után csomagoljuk ki a file-t egy könyvtárba, és indítsuk el a Command ablakot, telepítést a Volatility nem igényel. A teljesség igénye nélkül nézzünk meg néhány lehetőségét ennek az alkalmazásnak.

A vizsgálat megkezdése előtt tudnunk kell, hogy milyen operációs rendszeren készítettük (készítették) el a memória dump-ot (tegyük fel, hogy nem tudjuk, vagy vizsgálat céljából kaptuk meg a memóriamentést másoktól). Ezért először meg kell ezt határoznunk, mert a későbbi utasítások kiadásához a "profile"-t ismernünk kell.

Ezért ki kell adnunk a következő parancsot:

volatility_2.6_win64_standalone.exe -f FILENÉV

A "FILENÉV" helyére a memóriadump nevét kell beírnunk.

kep
2. ábra A "profile" meghatározása

Most már megvan a profile, megnézhetjük péládul a processek listáját. Erre két lehetőségünk is van. Lekérhetjük memóriadump-ban elmentett processeket lista alakban (pslist), vagy akár fa (pstree) kinézetben is megjeleníthetők.

volatility_2.6_win64_standalone.exe -f FILENÉV --profile=Win7SP1x64 pslist

Futtassuk a fenti parancsot (3. ábra):

kep
3. ábra A memóriamentéskor futó processzek listája, néhány tulajdonsága

Ezeket a processzeket meg tudjuk jeleníteni fa struktúrában is (pstree).

volatility_2.6_win64_standalone.exe -f FILENÉV --profile=Win7SP1x64 pstree

Futassuk most ezt a parancsot is (4. ábra):

kep
4. ábra Processek megjelenítése fa struktúrában

Lehetőségünk van az eszközök megjelenítésére is. Ehhez a következő parancs kiadása szükséges:

volatility_2.6_win64_standalone.exe -f FILENÉV --profile=Win7SP1x64 devicetree

A futási eredmény látható a következő ábrán:

kep
5. ábra Eszközök listája

Fontos lehet annak az ismerete, hogy a memória mentésének előtt milyen parancsokat adtak ki az adott Command ablakban. Ehhez adjuk ki a következő utasítást:

volatility_2.6_win64_standalone.exe -f FILENÉV --profile=Win7SP1x64 cmdscan

A korábban kiadott utasítások láthatók a következő ábrán:

kep
6. ábra Futási eredmény

Végül keressük meg a memóriamentésben a felhasználók neveit és a (hash-elt) jelszavaikat. Ehhez adjuk ki a következő utasítást:

volatility_2.6_win64_standalone.exe -f FILENÉV --profile=Win7SP1x64 hashdump

A futási eredményben látjuk a felhasználók neveit és a hozzájuk tartozó hash-elt jelszavakat (7. ábra).

kep
7. ábra Felhasználók nevei és jelszavaik

A következő lépés az, hogy a hash-ek segítségével "megkeressük" a felhasználókhoz tartozó jelszavakat. Ezt megtehetjük valamilyen program segítségével, vagy pedig online is rákereshetünk. Ezeket látjuk a 8. ábrán.

kep
8. ábra A "teszt" felhasználó jelszava (1234)