ඔන්න එහෙනම් පිංවතුනි අපි මල්වාරේ එකක් තනියම හොයන්නේ කොහොමද කියල කියන්න හදන්නේ
ඔව් ඔව් වයිරස් ගාඩ් තියෙද්දී අහවල් එකකටද අපි හොයන්නේ කියල කවුරු හරි හිතනවා ඇති එහෙම හිතන අයයි නැති අයයි මේක ඉවරවෙද්දි තේරුම් ගනී කියල හිතනවා
ඉතින් අපි කලින් දවසක මැෂින් එකේ රැම් එකේ image එකක් ගහගන්න හැටි කතා කලානේ අමතක නම් මේක බලන්න මතක් කරගන්න
ඉතින් අපි අද බලමු කොහොමද ඒ විදිහට ගත්ත ram image එකකින් වයිරස් එකක් වෙන් කරලා අදුරගන්නේ කොහොමද කියල
වැඩි විස්තර නැතුව අපි වැඩේට බහිමු
මේකට ඕනි වෙනවා malware ගියපු කොටින්ම කිව්වොත් වයිරස එකක් ගියපු මසින් එකකින් ගත්ත ram image එකක්
ඉතින් එක අරන් අපේ කාලි මැෂින් එකට කොපි කරගෙන එහෙම ලැස්ති වෙන්නකෝ
ඔය zip එකේ තිබ්බේ ram image එක.
එක මන් extract කරගත්ත
දැන් ටර්මිනල් එක open කරගන්න
හරි දැන් තියෙන්නේ අපි volatility කියන framework එකෙන් තමා ගේම ගහන්න හදන්නේ ඉතින් එක තියනවද බලන්න ඉස්සෙල්ලම , කාලි එකේ නම් කොහොමත් එනවා
volatility
හරි තියනව නම් ඔහොම ලස්සනට වැටෙයි
හරි දැන් අපි බලමු මේක මොන os එකකින් ගත්ත ram image එකක්ද කියල, මොකද අපිට හම්බෙන ගොඩක් ඒවා මොකක්ද කියල හරියටම දන්නේ නෑනේ
volatility imageinfo -f cridex.vmem
ඔන්න අපිට බලන්න පුළුවන් ලස්සනට මේ මොන os එකේ ඒවාද කියල
හරි ඉතින් අපි බලමු මේකෙන් කරන්න පුළුවන් වැඩ සෙට් එක
volatility -h
ඔන්න ඔය කමාන්ඩ් එක ගැහුවම කරන්න පුළුවන් වැඩ ටික එනවා
පහල plugin සෙට් එකත් තියනව
හරි දැන් අපි මේ කමාන්ඩ් ටිකක් ගහල බලමු මොනාද හොයාගන්න පුළුවන් කියල
volatility --profile=WinXPSP2x86 -f cridex.vmem pslist
හරි දැන් අපි බැලුවේ ram image එක ගන්න වෙලේ දුව දුව තිබ්බ process වල ලිස්ට් එක
දැන් බලමු එක tree එකක විදිහට
volatility --profile=WinXPSP2x86 -f cridex.vmem pstree
දැන් බලමු මොනාද ඒ වෙලාවේ තිබ්බ connections කියලා
volatility --profile=WinXPSP2x86 -f cridex.vmem connscan
හරි දැන් මම මේකේ process වලට ගත්ත dll ලිස්ට් එක බලල ගන්න හදන්නේ
බලන්න
volatility --profile=WinXPSP2x86 -f cridex.vmem dlllist
හරි දැන් අපි අලුත් folder එකක් හදල dll dump එකක් ගම්මු
mkdir examin
volatility --profile=WinXPSP2x86 -f cridex.vmem dlldump memory -D examin/
හරි දැන් අපි මේකේ malware එකක් තියනවද කියල බලන්න මේ කමාන්ඩ් එක ගහනව
volatility --profile=WinXPSP2x86 -f cridex.vmem malfind -D examin/
දැන් dump එකකුත් ගමු scan කරන්න
volatility --profile=WinXPSP2x86 -f cridex.vmem moddump memory -D examin/
දැන් අපි කාලි එකට එන scanner එකකින් scan කරලා බලමු
clamscan examin/ | grep -v ": OK$"
හරි දැන් මේකෙන් නම් detect උනේ නෑ
ඉතින් අපි කෝකටත් සැක exe file මේ විදිහට extract කරලා virustotal දාල බලමු
මන් දැන් folder එකක් හදල එකට extract කරන්න හදන්නේ
දැන් virustotal ගිහින් අප්ලෝඩ් කරනවා
ඔන්න ඉතින් මේකේ ලිස්ට් එකක් ආව මොන මොන ගාඩ් වලින් ද ඇල්ලුවේ මොනාද කියල
පේනවනේ ඉතින් හැම ගාඩ් එකක්ම හැම වයිරස් එකක්ම අල්ලන්නේ නෑ කියල
මන් හිතනවා කට්ටිය මේකෙන් දෙයක් ගන්න ඇති කියල පට්ටම නිදි මතයි මන් එහෙනම් ගිහින් එන්නම් ජයවේවා හැමෝටම
ඔව් ඔව් වයිරස් ගාඩ් තියෙද්දී අහවල් එකකටද අපි හොයන්නේ කියල කවුරු හරි හිතනවා ඇති එහෙම හිතන අයයි නැති අයයි මේක ඉවරවෙද්දි තේරුම් ගනී කියල හිතනවා
ඉතින් අපි කලින් දවසක මැෂින් එකේ රැම් එකේ image එකක් ගහගන්න හැටි කතා කලානේ අමතක නම් මේක බලන්න මතක් කරගන්න
ඉතින් අපි අද බලමු කොහොමද ඒ විදිහට ගත්ත ram image එකකින් වයිරස් එකක් වෙන් කරලා අදුරගන්නේ කොහොමද කියල
වැඩි විස්තර නැතුව අපි වැඩේට බහිමු
මේකට ඕනි වෙනවා malware ගියපු කොටින්ම කිව්වොත් වයිරස එකක් ගියපු මසින් එකකින් ගත්ත ram image එකක්
ඉතින් එක අරන් අපේ කාලි මැෂින් එකට කොපි කරගෙන එහෙම ලැස්ති වෙන්නකෝ
ඔය zip එකේ තිබ්බේ ram image එක.
එක මන් extract කරගත්ත
දැන් ටර්මිනල් එක open කරගන්න
හරි දැන් තියෙන්නේ අපි volatility කියන framework එකෙන් තමා ගේම ගහන්න හදන්නේ ඉතින් එක තියනවද බලන්න ඉස්සෙල්ලම , කාලි එකේ නම් කොහොමත් එනවා
volatility
හරි තියනව නම් ඔහොම ලස්සනට වැටෙයි
හරි දැන් අපි බලමු මේක මොන os එකකින් ගත්ත ram image එකක්ද කියල, මොකද අපිට හම්බෙන ගොඩක් ඒවා මොකක්ද කියල හරියටම දන්නේ නෑනේ
volatility imageinfo -f cridex.vmem
ඔන්න අපිට බලන්න පුළුවන් ලස්සනට මේ මොන os එකේ ඒවාද කියල
හරි ඉතින් අපි බලමු මේකෙන් කරන්න පුළුවන් වැඩ සෙට් එක
volatility -h
ඔන්න ඔය කමාන්ඩ් එක ගැහුවම කරන්න පුළුවන් වැඩ ටික එනවා
පහල plugin සෙට් එකත් තියනව
හරි දැන් අපි මේ කමාන්ඩ් ටිකක් ගහල බලමු මොනාද හොයාගන්න පුළුවන් කියල
volatility --profile=WinXPSP2x86 -f cridex.vmem pslist
හරි දැන් අපි බැලුවේ ram image එක ගන්න වෙලේ දුව දුව තිබ්බ process වල ලිස්ට් එක
දැන් බලමු එක tree එකක විදිහට
volatility --profile=WinXPSP2x86 -f cridex.vmem pstree
දැන් බලමු මොනාද ඒ වෙලාවේ තිබ්බ connections කියලා
volatility --profile=WinXPSP2x86 -f cridex.vmem connscan
හරි දැන් මම මේකේ process වලට ගත්ත dll ලිස්ට් එක බලල ගන්න හදන්නේ
බලන්න
volatility --profile=WinXPSP2x86 -f cridex.vmem dlllist
හරි දැන් අපි අලුත් folder එකක් හදල dll dump එකක් ගම්මු
mkdir examin
volatility --profile=WinXPSP2x86 -f cridex.vmem dlldump memory -D examin/
හරි දැන් අපි මේකේ malware එකක් තියනවද කියල බලන්න මේ කමාන්ඩ් එක ගහනව
volatility --profile=WinXPSP2x86 -f cridex.vmem malfind -D examin/
දැන් dump එකකුත් ගමු scan කරන්න
volatility --profile=WinXPSP2x86 -f cridex.vmem moddump memory -D examin/
දැන් අපි කාලි එකට එන scanner එකකින් scan කරලා බලමු
clamscan examin/ | grep -v ": OK$"
හරි දැන් මේකෙන් නම් detect උනේ නෑ
ඉතින් අපි කෝකටත් සැක exe file මේ විදිහට extract කරලා virustotal දාල බලමු
මන් දැන් folder එකක් හදල එකට extract කරන්න හදන්නේ
දැන් virustotal ගිහින් අප්ලෝඩ් කරනවා
ඔන්න ඉතින් මේකේ ලිස්ට් එකක් ආව මොන මොන ගාඩ් වලින් ද ඇල්ලුවේ මොනාද කියල
පේනවනේ ඉතින් හැම ගාඩ් එකක්ම හැම වයිරස් එකක්ම අල්ලන්නේ නෑ කියල
මන් හිතනවා කට්ටිය මේකෙන් දෙයක් ගන්න ඇති කියල පට්ටම නිදි මතයි මන් එහෙනම් ගිහින් එන්නම් ජයවේවා හැමෝටම