Walkthrough

[TR] Memory Forensics TryHackMe Writeup

Reklam

[TR] Memory Forensics TryHackMe Writeup

Herkese Merhaba, bu yazımda TryHackMe platformunda bulunan Memory Forensics odasını çözeceğiz. Her task’de verilen ayrı ayrı imajlar bulunuyor ve istenen görevleri o imajlar üzerinden gerçekleştiriyoruz.

Task 1: Introduction

 

Cevap vermemize gerek yok.

Ram analizi yaparken Volatility tool’unu kullanacağız. Task 1′ de bunun ipucunu almış oluyoruz.

Task 2: Login

Olay yerindeki adli araştırmacı, John’un bilgisayarının ilk adli analizini yapıyor ve bilgisayarda oluşturduğu ram imajını bize veriyor. İkincil adli araştırmacı olarak, ram imajındaki gerekli bilgileri bulmamızı istiyor.

Download Task Files -> Ram imajını indiriyoruz.

What is John’s password?

Öncelikle John kullanıcısının profil bilgisini elde etmemiz gerekiyor. Bunun için Volatility tool’unun parametresi olan, imageinfo komutunu kullanıyoruz. İmageinfo, ram imajının alınma tarihi, sahip olduğu profiller ve profil bilgisinin tuttuğu işletim sistemi bilgilerine erişmemizi sağlıyor.

volatility -f Snapshot6.vmem imageinfo

İmajı alınan Ram’in profil bilgisini Win7SP1x64 olarak buluyoruz. Kullanıcıların parola hash değerlerine hashdump komutu ile ulaşabiliriz.

volatility -f Snapshot6.vmem — profile=Win7SP1X64 hashdump

John kullanıcısının parola hash değerini bulduk. Hash değeri elimizde mevcut olan parolanın kırılması için John the Ripper aracını kullanıyoruz.

john — wordlist=/usr/share/wordlists/rockyou.txt — format=nt john\hash.txt

Cevap: charmander999

Task 3: Analysis

Download Task Files -> Ram imajını indiriyoruz.

Olay yerinde şüphelinin makinesinin bir fotoğrafı çekildi, üzerinde John’un bilgisayarının komut penceresinin açık olduğunu görebiliyordunuz. Resim ne yazık ki çok net değildi ve John’un komut penceresinde ne yaptığını göremediniz. Bunun için bizden istenen iki sorunun cevabını bulmamızı istiyor.

volatility -f Snapshot19.vmem imageinfo

When was the machine last shutdown?

Makinenin en son ne zaman kapandığına bakmamız için shutdowntime parametresini kullanıyoruz.

volatility -f Snapshot19.vmem — profile=Win7SP1X64 shutdowntime

Cevap: 2020–12–27 22:50:12

What did John write?

Komut satırının geçmişine consoles komutu yazarak ulaşabiliriz.

volatility -f Snapshot19.vmem — profile=Win7SP1X64 consoles

Cevap: You_found_me

Task 4 : TrueCrypt

Download Task Files -> Ram imajını indiriyoruz.

Şüphelinin bilgisayarında TrueCrypte tespit edildiği için ramde şifrelenmiş bir kısım olup olmadığını tespit etmemiz isteniyor. TrueCrpyt disk şifreleme programıdır.

volatility -f Snapshot14.vmem imageinfo

What is the TrueCrypt passphrase?

TrueCrpyt ile şifrelenen kısmı truecryptpassphrase komutu ile buluyoruz.

volatility -f Snapshot14.vmem — profile=Win7SP1X64 truecryptpassphrase

Cevap: forgetmenot

 

Reklam
Reklam

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu