Linux / Windows Memory Analysis

හරි පින්වතුනි අද නම් කරන්න හදන්නේ පොඩ්ඩක් විතර ලොකු වැඩක්
ඒ තමා ලිනක්ස් මැෂින් එකකින් ram එකේ කොපියක් අරන් එකේ මොනාද තියෙන්නේ සහ එකෙන් ගන්න පුළුවන් විස්තර ටිකක් ගැන කතා කරන එක. මේක ඕනි වෙන්නේ ඉතින් වයිරස් එකක් වගේ ආවම එක ගැන හොයන උදවියට සහ Information Security සෙට් එකට තමා

වැඩි කතා ඕනි නෑ අපි වැඩේ පටන් ගමු

ඉස්සෙල්ලම මේකට දාගන්න ඕනි වෙනවා පොඩි පොඩි දේවල් ටිකක්
ඒ ටික මේ කමාන්ඩ් ගහල install කරගන්න

sudo apt-get install build-essential
sudo apt-get install linux-headers-`uname -r`
sudo apt-get install git nano python dwarfdump zip python-distorm3 python-crypto

දැන් LiME එක දාගන්න හදන්නේ Linux Memory එක Extract කරගන්න.

දැන් අපි git එකෙන් clone එකක් අරන් වැඩේ කරමු
git clone https://github.com/504ensicsLabs/LiME
cd LiME/src/
make

make එක ගැහුවම file එකක් හැදෙනවා lime-4.13.0-36-generic.ko. කියල ඔයාලගේ file name එක වෙනස් වෙන්න පුළුවන් හොඳේ

දැන් අපි ram dump එක ගන්න හදන්නේ
එකට මේ කමාන්ඩ් එක ගහන්න.
sudo insmod lime-4.13.0-36-generic.ko "path=memory.mem format=lime”
දැන් අපි හදාගන්නවා file එකක් memory.mem කියල අන්න ඒ file එක ඔයාගේ ram එකේ සයිස් එක වෙනවා ඒ කියන්නේ 8 gb නම් ඒ ගාන සෙට් වෙනවා ඒ නිසා ඉඩ නම් ඕනි හාඩ් එකේ මේ වැඩේට.

Installing Volatility

උඩින් අපි ගත්ත ram එකේ dump එක, එත් මේක බලන්න අපිට ඕනි වෙනවා පොඩි මැප් එකක් හරියට manual එකක් වගේ එකක්
එකට අපි කියනවා profile එකක් කියල
මේකෙදි වෙන්නේ අපි අර ram dump එක ගන්න මැෂින් එකේ system මැප් එකයි මොඩියුල් එකකුයි දාල හදාගන්නවා පොඩි මැප් එකක් මෙහෙම address එකක් ආවම එකේ තියෙන්නේ මෙන්න මෙහෙමයි කියල,

හරි දැන් අපි Volatility එක git එකෙන් අරන් වැඩේ පටන් ගමු.
cd ../../
git clone https://github.com/volatilityfoundation/volatility
cd volatility/tools/linux/
make clean
make




දැන් අපි බලමු  /boot/ වල මොනාද තියන system මැප් කියල
ls -al /boot/
මේකේ සෙට් එකක් එයි අපිට ඕනි වෙන්නේ දැන් යන එක ගන්නනේ අන්න එකට 
uname -r 


එකක් ගහල බලාගන්න පුළුවන් මොකක්ද දැනට use කරන්නේ කියල
Volatility Profile එක හදාගමු
මේකෙදි කරන්නේ module.dwarf එකයි system මැප් එකයි අරන් profile එක නම දාල zip file එකක් හදාගන්න එක
cd ../../
sudo zip volatility/plugins/overlays/linux/Ubuntu160403-040400-89.zip tools/linux/module.dwarf /boot/System.map-4.13.0-36-generic

Running Volatility

වැඩේ හරිද කියල බලාගන්න මේ කමාන්ඩ් එක ගහන්න
python vol.py --info | grep Linux

වැඩේ හරි නම් මේ නමින් profile එකක් පෙන්නන්න ඕනි LinuxUbuntu160403-040400-89×64.


දැන් ලිනක්ස් වල තියන plugins බලාගන්න මේ කමාන්ඩ් එක ගහන්න.
python ./vol.py --info | grep -i linux_


දැන් අපි බලන්න හදන්නේ අපි ගත්ත memory dump එකේ මොනවද අපිට ගන්න පුළුවන් දේවල් කියල බලන්න.

එකට මේ කමාන්ඩ් එක ගහන්න
sudo python vol.py -f memory.mem --profile=LinuxUbuntu160403-040400-89x64 linux_bash
මේකේ output එක වෙනම ෆයිල් එකකට ගන්න 


sudo python vol.py -f memory.mem --profile=LinuxUbuntu160403-040400-89x64 linux_bash > linux_bash.txt
කියල ගහල ගන්න පුළුවන්

දැන් බලමු windows වල ram එකේ dump එක ගන්නේ කොහොමද කියල


වැඩිය මොකුත් නෑ මේ exe එක git එකෙන් ගන්න තියෙන්නේ
https://github.com/thimbleweed/All-In-USB/blob/master/utilities/DumpIt/DumpIt.exe
ඊටපස්සේ ඩබල් ච්ලික් කරා Y අකුර එබුවා හැබැයි ඉඩ තියෙන්න ඕනි 8 gb ram නම් 8ක්ම


දැන් එක අපේ ලිනක්ස් එකට කොපි කරගන්න මේ වගේ



ඉටපස්සේ එක අර කලින් අපි කරා වගේ profile හදන්න ඕනි කතන්දර නෑ මේකෙදි

python vol.py --info 
එකක් ගහන්න එකේ එයි windows වලට අදාළ profile සෙට් එක



ram dump එක ගත්තේ මොන windows එකෙන්ද බැලුව profile එක select කරා කමාන්ඩ් එක ගැහුවා

sudo python volatility/vol.py -f MANUSHA-PC-20180723-122115.raw --profile=Win7SP1x64_24000 amcache 

මේකේ තියනව ලිනක්ස් සහ windows වලට එන plugin සෙට් එකම දාල script 2ක් කරන්න තියෙන්නේ clone එකක් අරන් වැඩේ කරන් යන එක

https://github.com/manushaamal/volatility_scripts/tree/dev

මේක ඉතින් අපේ assignment එකක් ඔයාලත් එක්ක සහ අපේ Ethical Hacking කරන අනිත් සෙට් එකත් එක්ක බෙදාගන්න ඕනි උන නිසා පොස්ට් එකක්ම දැම්ම,

එහෙනම් ඉතින් මන් ගිහින් එන්නම්.
උදවු ගත්තේ මේ ලිපියෙන් 

දිරියක් වෙන්න අදහස් පෙළක් දාන්න

Post a Comment (0)
Previous Post Next Post