loader
Foto

Memóriavizsgálat alapjai ingyenes forensic eszközökkel

A WebElektronika oldalain nagyon kevés figyelemet fordítottunk idáig a forensic témakörre. Ennek a témakörnek nagyon sok területe van, most a memória forensic-et tekintjük át. Egy Windows 7 operációs rendszerrel rendelkező virtuális gépen hajtunk végre egy memória dump-ot, amelynek az eredményét különböző vizsgálatnak vetjük majd alá. Megnézzük, megtalálható-e ebben (ha igen, hogyan) a bejelentkezett felhasználó jelszava, de megkeressük azt is, milyen utasítások kerültek kiadásra a command ablakban.

Ha például rosszindulatú kódokat keresünk a számítógépünkön, célszerű megvizsgálni a számítógép memóriájának a tartalmát. Szintén sokat segíthet a memóriaelemzés akkor, ha arra vagyunk kiváncsiak, miért fagyott le a számítógépünk, stb.
Ahhoz, hogy a memóriavizsgálatot el tudjuk kezdeni, szükségünk van egy memóriamentésre, amelyet szokás "memória dump"-nak is nevezni. Erre több ingyenes program is létezik, alkalmazhatnánk akár a DumpIt-ot is. Sajnos ez a program csak 4GB-ig használható, ezért célszerű inkább a Belkasoft ingyenes alkalmazását letölteni.

Indítsuk el a Belkasoft ingyenes Live RAM Capturer alkalmazását, majd adjuk meg a mentésnek a helyét. Ezután kattintsunk a "Capture!" nyomógombra (1. ábra).

kep
1. ábra   Memóraidump készítése a Live RAM Capturer alkalmazással
 

El is készült a memóriadump-unk, most már az analizálást el tudjuk kezdeni. Ehhez a feladathoz a "Volatility Framework"-öt fogjuk használni, amely ingyenes, és itt tölthető le.

A letöltés után csomagoljuk ki a file-t egy könyvtárba, és indítsuk el a Command ablakot, telepítést a Volatility nem igényel. A teljesség igénye nélkül nézzünk meg néhány lehetőségét ennek az alkalmazásnak.

A vizsgálat megkezdése előtt tudnunk kell, hogy milyen operációs rendszeren készítettük (készítették) el a memória dump-ot (tegyük fel, hogy nem tudjuk, vagy vizsgálat céljából kaptuk meg a memóriamentést másoktól). Ezért először meg kell ezt határoznunk, mert a későbbi utasítások kiadásához a "profile"-t ismernünk kell.

Ezért ki kell adnunk a következő parancsot:

 

volatility_2.6_win64_standalone.exe -f  FILENÉV

 

A "FILENÉV" helyére a memóriadump nevét kell beírnunk.

kep
2. ábra   A "profile" meghatározása
 

Most már megvan a profile, megnézhetjük péládul a processek listáját. Erre két lehetőségünk is van. Lekérhetjük memóriadump-ban elmentett processeket lista alakban (pslist), vagy akár fa (pstree) kinézetben is megjeleníthetők.

 

volatility_2.6_win64_standalone.exe -f  FILENÉV --profile=Win7SP1x64 pslist

 

Futtassuk a fenti parancsot (3. ábra):

kep
3. ábra   A memóriamentéskor futó processzek listája, néhány tulajdonsága
 

Ezeket a processzeket meg tudjuk jeleníteni fa struktúrában is (pstree).

 

volatility_2.6_win64_standalone.exe -f  FILENÉV --profile=Win7SP1x64 pstree

 

Futassuk most ezt a parancsot is (4. ábra):

kep
4. ábra   Processek megjelenítése fa struktúrában
 

Lehetőségünk van az eszközök megjelenítésére is. Ehhez a következő parancs kiadása szükséges:

 

volatility_2.6_win64_standalone.exe -f  FILENÉV --profile=Win7SP1x64 devicetree

 

A futási eredmény látható a következő ábrán:

kep
5. ábra   Eszközök listája
 

Fontos lehet annak az ismerete, hogy a memória mentésének előtt milyen parancsokat adtak ki az adott Command ablakban. Ehhez adjuk ki a következő utasítást:

 

volatility_2.6_win64_standalone.exe -f  FILENÉV --profile=Win7SP1x64 cmdscan

 

A korábban kiadott utasítások láthatók a következő ábrán:

kep
6. ábra   Futási eredmény
 

Végül keressük meg a memóriamentésben a felhasználók neveit és a (hash-elt) jelszavaikat. Ehhez adjuk ki a következő utasítást:

 

volatility_2.6_win64_standalone.exe -f  FILENÉV --profile=Win7SP1x64 hashdump

 

A futási eredményben látjuk a felhasználók neveit és a hozzájuk tartozó hash-elt jelszavakat (7. ábra).

kep
7. ábra   Felhasználók nevei és jelszavaik
 

A következő lépés az, hogy a hash-ek segítségével "megkeressük" a felhasználókhoz tartozó jelszavakat. Ezt megtehetjük valamilyen program segítségével, vagy pedig online is rákereshetünk. Ezeket látjuk a 8. ábrán.

kep
8. ábra   A "teszt" felhasználó jelszava  (1234)
 

 



Egyéb cikkek

További cikkeink ebben a témakörben

Régebbi cikkeink

Elkezdünk egy sorozatot, amelyhez a Kali Linux használata elengedhetetlen lesz, de természetesen folytatjuk a C# nyelv aszinkron használatának a bemutatását is. Az IT biztonság (amely elég széles területet foglal magába) egyik elengedhetetlen eszköze. . . .

Az nmap (grafikus megjelenítésnél a ZenMap) használata az IT biztonság, illetve az üzemeltetés területén dolgozó szakembereknél szinte elkerülhetetlen. Az ingyenes szoftver segítségével tesztelhetők a számítógépeink, a számítógéphálózatunk, vizsgálha. . . .

A saját informatikai rendszerünk tesztelésénél előfordulhat, hogy meg kell változtatni a MAC címünket. Hogyan tehetjük ezt meg a Kali Linux segítségével? Megnézzük most ezt ebben a cikkben.. . . .