TryHackMe Memory Forensics Writeup

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
202
Tepkime puanı
9
Puanları
18
Gönül POLAT tarafından yazılmıştır.

[TR] Memory Forensics TryHackMe Writeup




Herkese Merhaba, bu yazımda TryHackMe platformunda bulunan Memory Forensics odasını çözeceğiz. Her task’de verilen ayrı ayrı imajlar bulunuyor ve istenen görevleri o imajlar üzerinden gerçekleştiriyoruz.

Task 1: Introduction






Cevap vermemize gerek yok.

Ram analizi yaparken Volatility tool’unu kullanacağız. Task 1′ de bunun ipucunu almış oluyoruz.

Task 2: Login


Olay yerindeki adli araştırmacı, John’un bilgisayarının ilk adli analizini yapıyor ve bilgisayarda oluşturduğu ram imajını bize veriyor. İkincil adli araştırmacı olarak, ram imajındaki gerekli bilgileri bulmamızı istiyor.

Download Task Files -> Ram imajını indiriyoruz.

What is John’s password?

Öncelikle John kullanıcısının profil bilgisini elde etmemiz gerekiyor. Bunun için Volatility tool’unun parametresi olan, imageinfo komutunu kullanıyoruz. İmageinfo, ram imajının alınma tarihi, sahip olduğu profiller ve profil bilgisinin tuttuğu işletim sistemi bilgilerine erişmemizi sağlıyor.

volatility -f Snapshot6.vmem imageinfo



İmajı alınan Ram’in profil bilgisini Win7SP1x64 olarak buluyoruz. Kullanıcıların parola hash değerlerine hashdump komutu ile ulaşabiliriz.

volatility -f Snapshot6.vmem — profile=Win7SP1X64 hashdump



John kullanıcısının parola hash değerini bulduk. Hash değeri elimizde mevcut olan parolanın kırılması için John the Ripper aracını kullanıyoruz.

john — wordlist=/usr/share/wordlists/rockyou.txt — format=nt john\hash.txt



Cevap: charmander999

Task 3: Analysis




Download Task Files -> Ram imajını indiriyoruz.

Olay yerinde şüphelinin makinesinin bir fotoğrafı çekildi, üzerinde John’un bilgisayarının komut penceresinin açık olduğunu görebiliyordunuz. Resim ne yazık ki çok net değildi ve John’un komut penceresinde ne yaptığını göremediniz. Bunun için bizden istenen iki sorunun cevabını bulmamızı istiyor.

volatility -f Snapshot19.vmem imageinfo



When was the machine last shutdown?

Makinenin en son ne zaman kapandığına bakmamız için shutdowntime parametresini kullanıyoruz.

volatility -f Snapshot19.vmem — profile=Win7SP1X64 shutdowntime



Cevap: 2020–12–27 22:50:12

What did John write?

Komut satırının geçmişine consoles komutu yazarak ulaşabiliriz.

volatility -f Snapshot19.vmem — profile=Win7SP1X64 consoles



Cevap: You_found_me

Task 4 : TrueCrypt




Download Task Files -> Ram imajını indiriyoruz.

Şüphelinin bilgisayarında TrueCrypte tespit edildiği için ramde şifrelenmiş bir kısım olup olmadığını tespit etmemiz isteniyor. TrueCrpyt disk şifreleme programıdır.

volatility -f Snapshot14.vmem imageinfo



What is the TrueCrypt passphrase?

TrueCrpyt ile şifrelenen kısmı truecryptpassphrase komutu ile buluyoruz.

volatility -f Snapshot14.vmem — profile=Win7SP1X64 truecryptpassphrase



Cevap: forgetmenot
 
Moderatör tarafında düzenlendi:
Geri
Üst