Bu yazıda size RAM imajı hakkında bilgi verilerek Windows ve Linux sistemlerde RAM imajının nasıl alınacağı uygulamalı olarak gösterilecektir.
RAM(Random Access Memory), bilgisayarınızın, tabletinizin, akıllı cihazlarınızın ihtiyaç duyacağı tüm bilgileri geçici olarak depolayan sistemdir. RAM imajı Adli Bilişim sektörü için delil inceleme aşamasında oldukça işe yarayan önemli bir unsurdur. Bu yüzden RAM’in imajının alınması gerekmektedir. Bu işlem canlı(açık) makinelerde Windows için DumpIt.exe, FTK Imager gibi araçlarla yapılabilmektedir.
WİNDOWS Sistemler İçin:
Windows işletim sistemleri için çeşitli programlar bulunmaktadır. Bu programlardan bazılarına uygulamalı olarak görelim.
Dumplt ile RAM İmajı Alma
DumpIt yazılımı Moonsols firması tarafından geliştirilen ve hem 32-bit hem de 64-bit Windows işletim sistemlerinin fiziksel hafızalarının imajlarını almak için kullanılabilecek ücretsiz bir yazılımdır. DumpIt yazılımını https://github.com/thimbleweed/All-In-USB/tree/master/utilities/DumpIt linkinden indirebilirsiniz.
İndirdiğiniz .exe dosyasını çalıştırarak hafızanızın imajını almaya başlayabilirsiniz.
Kaydedeceğimiz alanı kendisi seçerek aldığı imajı .exe dosyasını çalıştırdığınız yere kaydeder.
Bu programla 6898 MB boyutundaki bir RAM’in imajını almak 1 dakika 55 saniye sürdü. Oluşturulan dosya 6.73 GB boyutundadır.
FTK Imager ile RAM İmajı Alma
AccessData firmasının ürünü olan FTK Imager ile sistem üzerinde bulunan RAM’in bire bir(bit to bit) kopyasını alınabilir. Burada dikkat edilmesi gereken mesele sistem üzerinde ne kadar az proses çalışır ise o kadar az veriyi ram üzerinde kaybetme riskimiz azalır. Proses, girdileri alıp kaynak kullanarak bir çıktıya dönüştüren her bir aktivite, faaliyet veya operasyon proses(süreç) olarak tanımlanabilir.
FTK Imager’ı https://accessdata.com/product-download/ftk-imager-version-4-5 linkinden indirip kurulumunu gerçekleştirdikten sonra işlemlerinizi gerçekleştirebilirsiniz.
RAM İmajı alma işlemi “Capture Memory” seçeneği ile gerçekleştirilir.
Capture Memory seçeneğine tıklanıldığında karşımıza çıkan ekranda imajın kaydedileceği alan bilgisi için destination path kısmının doldurulması, Windows işletim sistemlerinde sanal bellek olarak kullanılan .sys dosyasının da imajının alınıp alınmayacağının belirlenmesi için Include pagefile seçeneğinin ve hem memory hem de pagefile dosyalarını paket yapıp imaj haline getirilip getirilmeyeceğinin belirlenmesi için Create AD1 file seçeneğinin seçilmesi gerekmektedir.
İmaj ile ilgili bilgiler bu alana girildikten sonra imaj alma işlemi başlatılabilir.
Bu programla 7 GB olarak gösterilen RAM’in imajını almak 4 dakika 29 saniye sürdü. Fakat oluşturulan dosya boyutu 6.73 GB boyutundadır.
Belkasoft Live RAM Capturer ile RAM İmajı Alma
Hata düzeltme sistemi bulunan, güvenilir şekilde RAM kopyasını ve canlı analizini yapabilen bir adli araçtır. 32 bit veya 64 bit sürümleri bulunur.
Burada fiziksel bellek sayfa boyutunu (4096) ve toplam fiziksel bellek boyutunu (6898) görüyoruz.
İmaj alma bittiğinde yeni bir satır daha geldi. Burada bellek dökümü tamamlandığı ve toplam bellek dökümünün 6898 MB olduğu bilgisi yer almaktadır. Böylece Ram imajını almış olduk.
RAM Capturer çekirdek modunda çalışır, mümkün olan en küçük ayak izini bırakır, taşınabilirdir ve salt okunur erişimi kullanır.
Bu programla 6898 MB boyutundaki RAM’in imajını almak 3 dakika 40 saniye sürdü. Oluşan dosya boyutu 6.73 GB boyutunda ve .mem uzantılıdır.
Win64dd ile RAM İmajı Alma
Microsoft Windows sistemlerde CMD (Komut Satırı) üzerinden çalışan ve az seviyede proses kullanarak RAM üzerinde ki bilgilere en az oranda müdahale eden bir yazılımdır.
LİNUX Sistemler İçin:
Linux’ta RAM imajı alabilmek için kullanılacak birçok araç vardır. Bu araçlardan bazılarını uygulamalı olarak görelim.
Avml ile RAM İmajı Alma
Linux için taşınabilir bir geçici bellek edinme aracıdır.
AVML yazılmış bir x86_64 userland uçucu bellek elde etme aracıdır Rust , statik bir ikili olarak konuşlandırılacak amaçlanmıştır. AVML, hedef işletim sistemi dağıtımını veya önceden çekirdeği bilmeden bellek almak için kullanılabilir. Hedefe yönelik derleme veya parmak izi gerekmez.
Avml aracını https://github.com/microsoft/avml/releases linkinden indirebilirsiniz. Github adresi incelendiğinde de aracın nasıl kullanılacağına dair birçok bilgi elde edilebilir.
İlk olarak Avml’yi indirdiğimiz dizine gidelim ve dizindekileri listeleyelim.
Daha sonra file komutuyla Avml’nin bir çalıştırabilir dosya olduğunu gördük.
Dosyanın izinlerini değiştirelim. Böylece dosyayı çalıştırabiliriz.
-h parametresiyle Avml kullanımı ve parametreleri hakkında bilgi alalım.
Şimdi dosyayı çalıştıralım ve kaydedilmesini istediğimiz dosyaya isim verelim. Bu işlemi normal olarak gerçekleştirmek istediğimizde gerçekleştiremiyoruz. sudo ile yetki alarak gerçekleştirmemiz gerekmektedir. Şimdi bellek imajını alabiliriz.
Bu komuttan sonra biraz beklemeniz gerekmektedir. Bu süre belleğinizin boyutuna bağlı olarak değişkenlik gösterir.
Şimdi Avml aracını çalıştırdığımız dizine bakalım.
Görüldüğü gibi belirttiğimiz gibi bir memory.dmp dosyası oluşturulmuş olup içinde Ram imajı yer almaktadır.
Bu programla 2GB boyutundaki bir RAM’in imajını almak 1 dakika 18 saniye sürdü. Oluşturulan dosya 2 GB boyutundadır.
Fmem ile RAM İmajı Alma
Fmem, belleğin tamamına doğrudan erişim sağlamak için / dev / fmem adında yeni bir aygıt oluşturmak için bir çekirdek modülüdür. Bu nedenle, belleği almayı planladığınız makinede veya benzer çekirdek sürümünde derlemeyi planladığınız makinede modülü derlemeniz gerekir.
git clone komutuyla localde ya da uzak sunucuda çalışan bir reponun çalışan bir kopyasını bulunduğumuz dizine kopyaladık.
Daha sonra make ve ./run.sh komutlarını çalıştırdık.
make komutu programların yeniden derlenme sürecini otomatik hale getirmek, sadece değişen kısımların yeniden derlenmesini sağlamak suretiyle zamandan kazanmak ve işlemleri her zaman otomatik olarak doğru sırada yapmak için tasarlanmıştır.
./run.sh komutu ile run.sh dosyasını çalıştırıyoruz.
dcfldd aracı ile RAM imajını almayı başardık. dcfldd istenilen parametrelerle kullanılabilir. bs(block size) blok boyutu belirtilerek zaman ayarlaması yapılabilir.
Bu programla 1 GB boyutundaki bir RAM’in imajını almak 18 saniye sürdü.
Lime ile RAM İmajı Alma
Linux ve Android gibi Linux tabanlı cihazlardan geçici bellek alımına izin veren bir modüldür. LiME Linux bellek edinimi için tasarlanmış diğer araçlardan daha adli olarak daha sağlam bellek yakalamaları üretmesine olanak tanır.
git clone komutuyla belirtilen adresten bir repoyu bulunduğumuz dizine kopyaladık.
lime dizini içindeki src dizinine giderek make komutunu çalıştırdık. “make” komutu programların derleme sürecini otomatik hale getirir.
make işleminden sonra src dizini içindeki dosyalarda değişiklik olduğunu görüyoruz.
Daha sonra çekirdek nesnesi olan ko uzantılı dosyayı yüklememiz gerekiyor. insmod komutuyla komutuyla modülü kernele yükledik ve kaydetmek istediğimiz yolu verdik. Son olarak imajın formatını raw formatı olarak belirttik.
Bu işlem ile RAM imajı alma işlemini gerçekleştirmiş olduk. İmaj .mem uzantısıyla belirttiğimiz dizine kaydedildi.
Bu programla 2 GB boyutundaki bir RAM’in imajını almak 2 dk sürdü.
Bu yazıda Windows ve Linux sistemlerinde RAM imajının nasıl elde edebileceğimizi gördük. RAM boyutlarına göre hız kıyaslaması yapabiliriz fakat içerik karşılaştırması için farklı programlarla alınan RAM imajlarının incelemesini yaparak görebiliriz. RAM’in imajının incelemesi için kullanılan Volatility programı ile Ram imajı Analizi konulu bloğumuza bakabilirsiniz.
https://www.forencrypt.com/volatility-ile-ram-imaji-analizi/
