هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

forensics memory acquisition لانظمه لينكس

اخذ صوره من الذاكرة في انظمه وندوز امر سهل للغاية ويتم عن طريق اي اداة مثل ftk imager lite او اداة Memoryze . ولكن الامر مختلف قليلا في لينكس بسبب ان لينكس يمنع الوصول المباشر الى الذاكرة لزيادة الحماية, لذلك لا نستطيع ببساطة فتح اداة ونجمع بيانات الذاكرة. لكي نتمكن من الوصول الى الذاكرة يجب ان نستخدم ما يسمى loadable kernel module والتي اذا اُستخدمت مع الكرنل سوف تمكنا من الوصول الى الذاكرة واخذ صوره كاملة. افضل اداة تقوم بعمل ذلك هي linux memory extractor والتي تعرف بـ LiME.

أستخدام اداة LiME :

بما أن عملية الوصول الى الذاكرة تتطلب LKM فذلك يعني ان كل اصدار من اصدارات الكيرنل يكون له LKM مختلف, لذلك يجب علينا ان نقوم بتجهيز LKM بنفس اصدار كيرنل جهاز المشبته. لنتفرض ان لدينا جهاز مشتبه يعمل بنظام ubuntu 14.04 سوف نقوم بتنزيل الاداة في جهاز اخر في المعمل الخاص بنا يحمل نفس النظام ونفس الاصدار وننزل اداة LiME ونعمل لها compilation لكي نحصل على ملف LKM.

الخطوات :

  • قم بتنزيل الاداة من صفحه الـ github
  • قم بفك الضغط والدخول الى ملف src
  • قم بكتابة الامر make
  • اذا كل شيء تم بشكل جيد سوف تجد ملف يحمل الامتداد ko. والاسم هو اصدار الكيرنل مثل lime-3.0.0-12-generic.ko
  • هذا الملف يتم نسخه واخذه الى جهاز المشتبه
  • نقوم الان باستخدام الملف مع امر insom والذي يعني insert module لكل يتمكن من الوصول الى الذاكرة عن طريق الامر التالي :

sudo insmod ./lime.-3.0.0-12-generic.ko path=memory.lime format=raw

بعد تنفيذ الامر سوف يتم اخذ صوره كاملة من الذاكرة ووضعها نفس مسار الذي تم تنفيذ الامر فيه . احرص على تنفيذ الامر من داخل الـ USB الخاص بك . الاداة لا توفر اي طريقة لاخذ هاش من الذاكرة اثناء تحميلها ولذلك ببساطة لان الذاكرة تتغير بشكل مستمر, اذا تم اخذ صوره من الذاكرة الان بعد ثانيه الذاكرة تتغير بسبب انها تعمل وتحتوي على نظام التشغيل, سوف تتغير البيانات لذلك فور انتهائك من اخذ صوره النظام قم باخذ هاش باستخدام امر md5sum .

الاداة ايضا توفر لك ميزه نقل الذاكرة عن طريق الشبكه اثناء اخذ البيانات وحفظها في جهاز اخر على الشبكه .

اضافات مفيدة في مشروع تحليل الذاكرة volatility

لمن لا يعرف مشروع الـ Volatility Framework هو عباره عن بيئة متقدمه تستخدم لتحليل صور الذاكرة واستخراج الادلة والمعلومات منها. مشروع مفتوح المصدر مكتوب بلغة البايثون.

هناك فيديو كنت قد نشرته على مجتمع iSecur1ty عن Volatility , ما يميز المشروع ان له مجتمع مطورين رائع وكذلك العدد من الاضافات  والتي تزداد كل يوم لتحليل الذاكره واستخراج المعلومات . تستطيع ان تكتب اضافة للمشروع تقوم باستخراج معلومات معينة  و استخدام الاضافة مع المشروع.

سوف اضع هنا اهم الاضافات الرائعه التي بضغطه زر تعطيك النتائج للمعلومات المطلوبه, اذا كنت قد شاهدت الفيديو الذي ذكرته سوف تلاحظ سهولة المشروع , هذا لا يعني ان ليس هناك امور متقدمه بالعكس المشروع جدا متقدم ويمكن ان تستخدمه بشكل احترافي لاستخراج ال shell codes و الملفات الخبيثه من الجهاز المصاب .

الإضافات :

  • cmdscan اضافه رائعه تمكن من معرفه الاوامر التي ادخلها المهاجم في سطر الاوامر لنظام وندوز (cmd.exe)
  • psscan اضافة تظهر لك العمليات الموجوده في النظام وتستطيع اكتشاف العمليات المخفيه والكثير من الامور
  • dlllist هذه الاضافة تظهر لك مكتبات الـ DLL المحملة لعملية معينه في النظام
  • iehistory تظهر لك كل ما يخص متصفح الاسكبلورير لنظام وندوز من تاريخ التصفح والكاش .. الخ
  • modules يظهر لك الموديول المحملة للكيرنل الخاصة بالنظام مفيده جدا لتحليل الـrookits
  • memdump تمكنك هذه الاضافه من تحميل بيانات من الذاكرة الى ملف وتنزله بشكل منفصل
  • connections تظهر لك كل الاتصالات من نوع TCP الي كانت شغاله اثناء اخذ صوره الذاكره من النظام
  • sockets تظهر لك كل الـ sockets الي مفعلة في النظام سواء TCP, UDP, RAW
  • shellbags تستخرج لك كل الـ shellbags من النظام , هناك فيديو قمت بعمله عن shellbags اتمنى تتطلع عليه
  • hivescan يظهر عنوان الذاكره الفيزيائي لhives الخاصة بالرجستري لما تتحمل الى الذاكره
  • Shimcache اضافة رائعه تظهر لك معلومات خاصة بالملفات التنفيذيه الخاصة بالبرامج ومساراتها وغيرها من المعلومات سوف احاول ان اشرحها بالتفصيل ان شاء الله
  • printkey اضافة مفيده لعرض القيم الخاصة بالـ hives الخاصه بالرجستري
  • Userassist تظهر لك عداد كم مرات اشتغل برنامج معين في النظام مثل كم مره اشتغل برنامج التورنت في جهاز المشتبه به
  • USBStor تظهر معلومات خااصة باجهزة اليو اس بي التي استخدمت مع النظام تسهل العمليه بدلا من استخراج المعلومات يدويا من الرجستري
  • Timeliner اضافة رائعه تقوم بعمل تسلسل زمني للكثير من احداث النظام التي يمكن استخراجها من الذاكره مثل تاريخ التصفح ووقت فتح البرامج وغيرها

هذه فقط بعض الاضافات  ما زال هناك الكثير والكثير من الاضافات وخاصة المتقدمه منها.