فارنزیک – قسمت اول مموری فارنزیک
یکی از حوزه ها بین فعالان سایبری فارنزیک یا جرم یابی هست که امروز می خواهیم باهم مموری فارنزیک انجام بدیم و یه چیزایی از فارنزیک را یاد بگیریم
اول باید بدونیم فارنزیک یا جرم یابی چیه ؟
سرور شرکت من مورد حمله قرار گرفته من میخوام بفهمم کی این کارو کرده که پیگیری کنم. اینجاست که علم دیجیتال فارنزیک (جرم یابی دیجیتال) وارد کار میشه و متخصص فارنزیک میاد مثل یه کاراگاه دنبال رد پایی از هکر میگیره تا پیداش کنه اما کجا دنبال رد پا میگرده؟
ما چند مدل فارنزیک داریم ؟
جرم یابی لینوکس (Linux Forensic)
جرم یابی شبکه (Network Forensic)
جرم یابی ویندوز(windows Forensic)
جرم یابی موبایل (Mobile Forensic)
جرم یابی مموری (Memory Forensic)
ما امروز روی مورد اخر کار میکنیم یعنی جرم یابی مموری.هر متخصص فارنزیک یکسری جعبه ابزار داره و امروز از دو ازابزار های فارنزیک استفاده میکنیم :
Volatility: ابزاری قوی برای تحلیل داده های RAM کامپیوتر که با پایتون نوشته شده
MAGNET RAM Capture: نرم افزاری برای گرفتن ایمیج از RAM
خب بالا گفتم ایمیج گرفتن حالا اصلا این ایمیج RAM چیه ؟
اول باید بدونیم داخل RAM چیه ؟
هر برنامه ای که روی کامپیوتر اجرا میشه یک سری داده برای پردازش میریزه داخل RAM خب این داده ها شامل چیه اون برنامه هست؟ تقریبا همه چیز همه چیز برنامه..
بریم یه عکس از برنامه process hacker ببنیم این برنامه همه برنامهایی که دارن اجرا میشن رو با جزییات نشون میده
ایمیچ از RAM مثل اینه که یک عکس از RAM گرفتی و میشینی بررسی میکنی که چه برنامهای اجرا بوده و حتی کانکشن های شبکه کامپیوتر رو هم میتونید ببنید
حالا این به چه دردی میخوره؟
ما هدفمون از این کار پیدا کردن بد افزاره خب بد افزار هم جز برنامه های اجرایی هست با این تفاوت که مشکوکه
خب الان میدونید قراره چیکار کنیم ما یه سناریو به شما میگیم و میزنیم که فایل های مورد نیازتون داخل بخش لابراتوار قرار میگیره
اما بعد ازین مقاله خودتونم میتوند مموری هرکامپیوتری که خواستید رو جرم یابی کنید
خب بریم سراغ سناریو
سلام من چند روزیه مشکوک شدم که کامپیوترم هک شده میشه شما برام بررسی کنید ببنید هک شده یا نه اگه اره کار کی بوده ؟
(یک فایل یک گیگابایتی ایمیج RAM داخل بخش لابراتوار هست از اینجا میتونید ببینیدش)
قبل ازینکه بریم سراغ بررسی ایمیج RAM میخام اموزش گرفتن ایمیج از RAM رو بگم اول از همه ابزار MAGNET RAM Capture رو دانلود و نصب میکنید بعد از نصب با یه همچین محیطی روبه رو میشید
گزینه browse میزنیم و جایی که میخایم فایل رو ذخیره کنه رو میدیم
اسم فایل رو هم میزاریم memdump
Save رو میزنیم و بعد هم start
خب میریم سراغ بررسی رممون
اول از همه ابزار Volatility رو دانلود میکنیم یه پاورشل با run as administrator باز میکنم و به فایلی که ابزار اونجاست میریم و کارمون رو شروع میکنیم
اولین دستور imageinfo که به ما یسری اطلاعات راجب فایلمون میده
با f- فایل ایمیج مون رو بهش میدیم به این صورت
خب ما الان نسخه ویندوز مورد نظر رو اینجا میتونیم ببینیم و یسری اطلاعات مفید
نسخهhی که از دستور قبلی دریافت کردیم =profile–
پروفایل رو باید قبل هر دستور دیگه انتخاب کنیم و جورایی همیشه باید باشه پس میشه
دستور بعدی pslist,pstree
به ما پراسس ها یا برنامه هایی که اجرا بودن رو نشون میده
توی پراسس ها یه پراسس مشکوک هست که اسمش lab.exe است که کاربر اجرا کرده توسط explorer
خب وقتشه بریم سراغ ارتباط های که کامپیوتر گرفته با دستور netscan یا netstat
من توی لیستی که از کانکشن ها گرفتم یه کانکشن مشکوک دارم
Pid رو نوشته 1- من به فایل lab.exe مشکوک بودم الان خیلی مشکوک تر شدم و میبینم یه کانکش دارم که معلوم نیست مال کدوم پراسس هست
اینجورمواقع یک نمونه فایل اجرایی از پراسس مشکوک میگیرم با دستوره procdump
به این صورت که
procdump -p pid –dump-dir=path
و شروع میکنیم مراحل آنالیز بدافزار روی فایل انجام بدیم تا الان من دوتا آیپی دارم یه کانکشن مشکوک و یه پراسس مشکوک…
تا مقاله بعدی که قسمت بعدی همین میشه و قراره lab.exe رو آنالیز کنیم خدانگهدار
