Gönül POLAT tarafından yazılmıştır.
Herkese Merhaba, bu yazımda TryHackMe platformunda bulunan Memory Forensics odasını çözeceğiz. Her task’de verilen ayrı ayrı imajlar bulunuyor ve istenen görevleri o imajlar üzerinden gerçekleştiriyoruz.
Cevap vermemize gerek yok.
Ram analizi yaparken Volatility tool’unu kullanacağız. Task 1′ de bunun ipucunu almış oluyoruz.
Olay yerindeki adli araştırmacı, John’un bilgisayarının ilk adli analizini yapıyor ve bilgisayarda oluşturduğu ram imajını bize veriyor. İkincil adli araştırmacı olarak, ram imajındaki gerekli bilgileri bulmamızı istiyor.
Download Task Files -> Ram imajını indiriyoruz.
What is John’s password?
Öncelikle John kullanıcısının profil bilgisini elde etmemiz gerekiyor. Bunun için Volatility tool’unun parametresi olan, imageinfo komutunu kullanıyoruz. İmageinfo, ram imajının alınma tarihi, sahip olduğu profiller ve profil bilgisinin tuttuğu işletim sistemi bilgilerine erişmemizi sağlıyor.
volatility -f Snapshot6.vmem imageinfo
İmajı alınan Ram’in profil bilgisini Win7SP1x64 olarak buluyoruz. Kullanıcıların parola hash değerlerine hashdump komutu ile ulaşabiliriz.
volatility -f Snapshot6.vmem — profile=Win7SP1X64 hashdump
John kullanıcısının parola hash değerini bulduk. Hash değeri elimizde mevcut olan parolanın kırılması için John the Ripper aracını kullanıyoruz.
john — wordlist=/usr/share/wordlists/rockyou.txt — format=nt john\hash.txt
Cevap: charmander999
Download Task Files -> Ram imajını indiriyoruz.
Olay yerinde şüphelinin makinesinin bir fotoğrafı çekildi, üzerinde John’un bilgisayarının komut penceresinin açık olduğunu görebiliyordunuz. Resim ne yazık ki çok net değildi ve John’un komut penceresinde ne yaptığını göremediniz. Bunun için bizden istenen iki sorunun cevabını bulmamızı istiyor.
volatility -f Snapshot19.vmem imageinfo
When was the machine last shutdown?
Makinenin en son ne zaman kapandığına bakmamız için shutdowntime parametresini kullanıyoruz.
volatility -f Snapshot19.vmem — profile=Win7SP1X64 shutdowntime
Cevap: 2020–12–27 22:50:12
What did John write?
Komut satırının geçmişine consoles komutu yazarak ulaşabiliriz.
volatility -f Snapshot19.vmem — profile=Win7SP1X64 consoles
Cevap: You_found_me
Download Task Files -> Ram imajını indiriyoruz.
Şüphelinin bilgisayarında TrueCrypte tespit edildiği için ramde şifrelenmiş bir kısım olup olmadığını tespit etmemiz isteniyor. TrueCrpyt disk şifreleme programıdır.
volatility -f Snapshot14.vmem imageinfo
What is the TrueCrypt passphrase?
TrueCrpyt ile şifrelenen kısmı truecryptpassphrase komutu ile buluyoruz.
volatility -f Snapshot14.vmem — profile=Win7SP1X64 truecryptpassphrase
Cevap: forgetmenot
[TR] Memory Forensics TryHackMe Writeup
Herkese Merhaba, bu yazımda TryHackMe platformunda bulunan Memory Forensics odasını çözeceğiz. Her task’de verilen ayrı ayrı imajlar bulunuyor ve istenen görevleri o imajlar üzerinden gerçekleştiriyoruz.
Task 1: Introduction
Cevap vermemize gerek yok.
Ram analizi yaparken Volatility tool’unu kullanacağız. Task 1′ de bunun ipucunu almış oluyoruz.
Task 2: Login
Olay yerindeki adli araştırmacı, John’un bilgisayarının ilk adli analizini yapıyor ve bilgisayarda oluşturduğu ram imajını bize veriyor. İkincil adli araştırmacı olarak, ram imajındaki gerekli bilgileri bulmamızı istiyor.
Download Task Files -> Ram imajını indiriyoruz.
What is John’s password?
Öncelikle John kullanıcısının profil bilgisini elde etmemiz gerekiyor. Bunun için Volatility tool’unun parametresi olan, imageinfo komutunu kullanıyoruz. İmageinfo, ram imajının alınma tarihi, sahip olduğu profiller ve profil bilgisinin tuttuğu işletim sistemi bilgilerine erişmemizi sağlıyor.
volatility -f Snapshot6.vmem imageinfo
İmajı alınan Ram’in profil bilgisini Win7SP1x64 olarak buluyoruz. Kullanıcıların parola hash değerlerine hashdump komutu ile ulaşabiliriz.
volatility -f Snapshot6.vmem — profile=Win7SP1X64 hashdump
John kullanıcısının parola hash değerini bulduk. Hash değeri elimizde mevcut olan parolanın kırılması için John the Ripper aracını kullanıyoruz.
john — wordlist=/usr/share/wordlists/rockyou.txt — format=nt john\hash.txt
Cevap: charmander999
Task 3: Analysis
Download Task Files -> Ram imajını indiriyoruz.
Olay yerinde şüphelinin makinesinin bir fotoğrafı çekildi, üzerinde John’un bilgisayarının komut penceresinin açık olduğunu görebiliyordunuz. Resim ne yazık ki çok net değildi ve John’un komut penceresinde ne yaptığını göremediniz. Bunun için bizden istenen iki sorunun cevabını bulmamızı istiyor.
volatility -f Snapshot19.vmem imageinfo
When was the machine last shutdown?
Makinenin en son ne zaman kapandığına bakmamız için shutdowntime parametresini kullanıyoruz.
volatility -f Snapshot19.vmem — profile=Win7SP1X64 shutdowntime
Cevap: 2020–12–27 22:50:12
What did John write?
Komut satırının geçmişine consoles komutu yazarak ulaşabiliriz.
volatility -f Snapshot19.vmem — profile=Win7SP1X64 consoles
Cevap: You_found_me
Task 4 : TrueCrypt
Download Task Files -> Ram imajını indiriyoruz.
Şüphelinin bilgisayarında TrueCrypte tespit edildiği için ramde şifrelenmiş bir kısım olup olmadığını tespit etmemiz isteniyor. TrueCrpyt disk şifreleme programıdır.
volatility -f Snapshot14.vmem imageinfo
What is the TrueCrypt passphrase?
TrueCrpyt ile şifrelenen kısmı truecryptpassphrase komutu ile buluyoruz.
volatility -f Snapshot14.vmem — profile=Win7SP1X64 truecryptpassphrase
Cevap: forgetmenot
Moderatör tarafında düzenlendi: