linux memory analysis linux memory analysis with volatility linux memory dump analysis linux memory usage analysis linux process memory analysis linux memory dump analysis tool linux memory leak analysis linux physical memory analysis linux kernel memory analysis linux forensic memory analysis kali linux memory analysis linux memory analysis tools memory analysis tool for linux memory analysis in linux memory dump analysis in linux how to analyse java memory in linux memory analysis on linux linux process memory usage analysis linux process memory dump analysis linux memory analysis volatility installing volatility installing volatility plugins installing volatility on mac installing volatility 2.5 installing volatility cuckoo installing volatility on ubuntu 16.04 installing volatility on kali installing volatility in linux mint installing volatility on ubuntu volatility installation guide installing volatility on linux installing volatility ubuntu installing volatility windows installing volatility on windows 7
හරි පින්වතුනි අද නම් කරන්න හදන්නේ පොඩ්ඩක් විතර ලොකු වැඩක්
ඒ තමා ලිනක්ස් මැෂින් එකකින් ram එකේ කොපියක් අරන් එකේ මොනාද තියෙන්නේ සහ එකෙන් ගන්න පුළුවන් විස්තර ටිකක් ගැන කතා කරන එක. මේක ඕනි වෙන්නේ ඉතින් වයිරස් එකක් වගේ ආවම එක ගැන හොයන උදවියට සහ Information Security සෙට් එකට තමා

වැඩි කතා ඕනි නෑ අපි වැඩේ පටන් ගමු

ඉස්සෙල්ලම මේකට දාගන්න ඕනි වෙනවා පොඩි පොඩි දේවල් ටිකක්
ඒ ටික මේ කමාන්ඩ් ගහල install කරගන්න

sudo apt-get install build-essential
sudo apt-get install linux-headers-`uname -r`
sudo apt-get install git nano python dwarfdump zip python-distorm3 python-crypto

දැන් LiME එක දාගන්න හදන්නේ Linux Memory එක Extract කරගන්න.

දැන් අපි git එකෙන් clone එකක් අරන් වැඩේ කරමු
git clone https://github.com/504ensicsLabs/LiME
cd LiME/src/
make

make එක ගැහුවම file එකක් හැදෙනවා lime-4.13.0-36-generic.ko. කියල ඔයාලගේ file name එක වෙනස් වෙන්න පුළුවන් හොඳේ

දැන් අපි ram dump එක ගන්න හදන්නේ
එකට මේ කමාන්ඩ් එක ගහන්න.
sudo insmod lime-4.13.0-36-generic.ko "path=memory.mem format=lime”
දැන් අපි හදාගන්නවා file එකක් memory.mem කියල අන්න ඒ file එක ඔයාගේ ram එකේ සයිස් එක වෙනවා ඒ කියන්නේ 8 gb නම් ඒ ගාන සෙට් වෙනවා ඒ නිසා ඉඩ නම් ඕනි හාඩ් එකේ මේ වැඩේට.

Installing Volatility

උඩින් අපි ගත්ත ram එකේ dump එක, එත් මේක බලන්න අපිට ඕනි වෙනවා පොඩි මැප් එකක් හරියට manual එකක් වගේ එකක්
එකට අපි කියනවා profile එකක් කියල
මේකෙදි වෙන්නේ අපි අර ram dump එක ගන්න මැෂින් එකේ system මැප් එකයි මොඩියුල් එකකුයි දාල හදාගන්නවා පොඩි මැප් එකක් මෙහෙම address එකක් ආවම එකේ තියෙන්නේ මෙන්න මෙහෙමයි කියල,

හරි දැන් අපි Volatility එක git එකෙන් අරන් වැඩේ පටන් ගමු.
cd ../../
git clone https://github.com/volatilityfoundation/volatility
cd volatility/tools/linux/
make clean
make




දැන් අපි බලමු  /boot/ වල මොනාද තියන system මැප් කියල
ls -al /boot/
මේකේ සෙට් එකක් එයි අපිට ඕනි වෙන්නේ දැන් යන එක ගන්නනේ අන්න එකට 
uname -r 


එකක් ගහල බලාගන්න පුළුවන් මොකක්ද දැනට use කරන්නේ කියල
Volatility Profile එක හදාගමු
මේකෙදි කරන්නේ module.dwarf එකයි system මැප් එකයි අරන් profile එක නම දාල zip file එකක් හදාගන්න එක
cd ../../
sudo zip volatility/plugins/overlays/linux/Ubuntu160403-040400-89.zip tools/linux/module.dwarf /boot/System.map-4.13.0-36-generic

Running Volatility

වැඩේ හරිද කියල බලාගන්න මේ කමාන්ඩ් එක ගහන්න
python vol.py --info | grep Linux

වැඩේ හරි නම් මේ නමින් profile එකක් පෙන්නන්න ඕනි LinuxUbuntu160403-040400-89×64.


දැන් ලිනක්ස් වල තියන plugins බලාගන්න මේ කමාන්ඩ් එක ගහන්න.
python ./vol.py --info | grep -i linux_


දැන් අපි බලන්න හදන්නේ අපි ගත්ත memory dump එකේ මොනවද අපිට ගන්න පුළුවන් දේවල් කියල බලන්න.

එකට මේ කමාන්ඩ් එක ගහන්න
sudo python vol.py -f memory.mem --profile=LinuxUbuntu160403-040400-89x64 linux_bash
මේකේ output එක වෙනම ෆයිල් එකකට ගන්න 


sudo python vol.py -f memory.mem --profile=LinuxUbuntu160403-040400-89x64 linux_bash > linux_bash.txt
කියල ගහල ගන්න පුළුවන්

දැන් බලමු windows වල ram එකේ dump එක ගන්නේ කොහොමද කියල


වැඩිය මොකුත් නෑ මේ exe එක git එකෙන් ගන්න තියෙන්නේ
https://github.com/thimbleweed/All-In-USB/blob/master/utilities/DumpIt/DumpIt.exe
ඊටපස්සේ ඩබල් ච්ලික් කරා Y අකුර එබුවා හැබැයි ඉඩ තියෙන්න ඕනි 8 gb ram නම් 8ක්ම


දැන් එක අපේ ලිනක්ස් එකට කොපි කරගන්න මේ වගේ



ඉටපස්සේ එක අර කලින් අපි කරා වගේ profile හදන්න ඕනි කතන්දර නෑ මේකෙදි

python vol.py --info 
එකක් ගහන්න එකේ එයි windows වලට අදාළ profile සෙට් එක



ram dump එක ගත්තේ මොන windows එකෙන්ද බැලුව profile එක select කරා කමාන්ඩ් එක ගැහුවා

sudo python volatility/vol.py -f MANUSHA-PC-20180723-122115.raw --profile=Win7SP1x64_24000 amcache 

මේකේ තියනව ලිනක්ස් සහ windows වලට එන plugin සෙට් එකම දාල script 2ක් කරන්න තියෙන්නේ clone එකක් අරන් වැඩේ කරන් යන එක

https://github.com/manushaamal/volatility_scripts/tree/dev

මේක ඉතින් අපේ assignment එකක් ඔයාලත් එක්ක සහ අපේ Ethical Hacking කරන අනිත් සෙට් එකත් එක්ක බෙදාගන්න ඕනි උන නිසා පොස්ට් එකක්ම දැම්ම,

එහෙනම් ඉතින් මන් ගිහින් එන්නම්.
උදවු ගත්තේ මේ ලිපියෙන් 

Manusha

Manusha Amal

මගේ තියන අත්දැකීම් මේ බ්ලොග් එක කියවන ඔබට පේනවනේ, ඉතින් ඔයාලට ගැටළුවක් අවොත් මාව Contact කරගන්න පුළුවන්.

Post A Comment:

0 comments:

දිරියක් වෙන්න අදහස් පෙළක් දාන්න