Forensics TryHackMe Walkthrough

Herkese merhaba, bu yazıda TryHackMe platformunda bulunan Forensics makinesini çözeceğiz. Memory Dump’ı (RAM imajı) verilen riskli bir sistemin incelemesini yapıyoruz.
Makineye bağlanabilmek için; https://tryhackme.com/room/forensics odasına katılmanız gerekiyor.

Task 1 : Volatility Forensics

1.Download the victim.zip (victim.zip indir)

Cevap vermeye gerek yok. TryHackMe Forensics odasına katıldıktan sonra verilen ram imajı dosyasını indiriyoruz. Dosyayı indirdikten sonra ram analizi yapabilmek için kullandığımız Volatility tool’unu komut satırında çalıştırıyoruz.

volatility -h yazarak tool’un detaylı kullanımına bakabiliriz.

2. Whats is the OS of this Dump? (Just write OS name in small)

Ram imajı verilen sistemin işletim sisteminin kısa adını yazmamızı istiyor.

Ram imajının alınma tarihi, sahip olduğu profiller ve profil bilgisinin tuttuğu işletim sistemi bilgilerine erişmek için imageinfo komutunu kullanıyoruz.

volatility -f victim.raw imageinfo

Cevap: windows

3. Whats is the PID of SearchIndexer ? (SearchIndexer’ın PID numarasını nedir?)

PID ( Process IDentifier) bilgisayarda çalışan, kendi kişiliği olan her işlem bir prosestir, prosesler numara olarak takip edilir.

Çalışan tüm prosesleri, PID değerleri, başlatılma zamanları gibi değerlere erişmek için pslist komutunu kullanıyoruz.

volatility -f victim.raw –profile=Win7SP1X64 pslist

Cevap: 2180

4. What is the last directory accessed by the user? (Kullanıcı tarafından erişilen son dizin nedir?)

Windows işletim sistemi dosyaların konumunu, boyutunu, sembollerini shellbag isimli registry dosyaları tutar. Dosya silinse bile bilgiler shellbag’da tutulur. Shellbags komutu ile bu bilgilere erişebiliriz.

volatility -f victim.raw –profile=Win7SP1X64 shellbags

Cevap: deleted_files

Task 2: Task2

1. Here are many suspicious open port, which is it ?(protocol:port) (Burada birçok şüpheli açık port var, hangisi? )

Herhangi bir şüpheli bağlantı noktası ve işlemlerin çalıştığı protokolü kontrol etmek için netscan komutunu kullanıyoruz. Aktif ve sonlandırılmış olabilecek bağlantıları bulmak içi connscan komutu kullanılabilir.

volatility -f victim.raw –profile=Win7SP1X64 netscan

Cevap: UDP:5005

2. Vads tag and execute protection are strong indicators of malicious processes, can you find which are they? (Pid1;Pid2;Pid3…) (Vads etiketi ve yürütme koruması zararlı, kötü amaçlı işlemlerin güçlü göstergesidir, hangileri olduklarını bulabilir misin?)

Kötü amaçlı, zararlı olabilecek tüm işlemler (gizli ve enjekte edilmiş zararlı kod) hakkında ayrıntılı bilgi veren malfind komutunu kullanıyoruz.

volatility -f victim.raw –profile=Win7SP1X64 malfind

Cevap: 1860;1820;2464

Task 3: IOC SAGA

IOC (Indicators of compromise), sistem girişleri günlüğünde ve dosyalarında bulunan adli veri parçalarıdır. Bu veriler daha sonra kötü amaçlı faaliyetleri tanımlamak için kullanılır.

Bir önceki bölümde elde ettiğimiz 1860, 1820, 2464 PİD numaralı zararlı olabilecek bu şüpheli exe dosyaları hakkında daha fazla analiz yapabiliriz. Bunun için memdump komutunu kullanarak exe dosyalarını elde edebiliriz.

volatility -f victim.raw -p 1860,1820,2464 –profile=Win7SP1X64 memdump -D.

Strings ve grep komutunu ve bize soruların yanında verilen hintleri kullanarak soruların cevaplarını bulabiliriz. Strings komutu, exe dosyasında bulunan tüm dizeleri alacak ve grep, dizeleri sağlanan ipucuyla eşleştirerek cevabı bulmamızı sağlar.

1.‘www.go****.ru’ (write full url without any quotation marks) (herhangi bir tırnak işareti olmadan tam url yazın.)

Cevap: www.goporn.ru

2.‘www.i****.com’ (write full url without any quotation marks)

Cevap: www.ikaka.com

3. ‘www.ic******.com’

Cevap: www.icsalabs.com

4. 202.***.233.*** (Write full IP)

Cevap: 202.107.233.211

5. ***.200.**.164 (Write full IP)

Cevap: 209.200.12.164

6. 209.190.***.***

Cevap: 209.190.122.186

7. What is an unique environmental variable of PID 2464? (PID 2464’ün benzersiz ortam değişkeni nedir?)

Ortam değişkenleri, işletim sistemi seviyesinde konfigüre edilebilen ve bilgisayar işlemleri tarafından erişilebilen değişkenlerdir. Envars komutu, ortam değişkenlerini görüntülemek için kullanılır.

volatility -f victim.raw –profile=Win7SP1X64 envars | grep 2464

Cevap: OANOCACHE

>>Diğer Yazılar İçin Tıklayınız.

En son haberler

İlgili haberler