Geçenlerde  eposta listesinde birisi memory dump için araç tavsiyesi istedi. Konuyla ilgili olarak hem Linux hem de Windows‘ta geçerli olan bu iş için uygun gözüküyor. Memory dump nedir neden gerekir?  RAM bellekte yüklü ve çalışmakta olan işlemlerin (process) veri ve kod bloklarının rahatça debug edilebilmesi için diske kopyalanması gerekir.  Bellekte çalışmakta olan bu işlem üst katman bir uygulama olabileceği gibi kendini daha iyi gizlemek için kernel mode ya da driver modda çalışan düşük seviyeli bir işlem de olabilir. Bu işlemleri incelemek ve kendini gizlemiş kötü amaçlı yazılımları tespit için RAM’in tamamının dump edilmesi gerekebilir. Ayrıca çalışmakta ve kilitli konumdaki bir Windows’tan parola hash’ini sökmek için de dump kullanılmıştı. Biraz farklı ve ilginç sayılabilecek bu yöntemin ayrıntılarına buradan bakabilirsiniz. Daha çok forensic (adli bilişim suçu analizi) amaçlı bilgilerin verildiği ve mdd ile diğer araçların tanıtıldığı sunumu aşağıdaki bağlantıdan indirebilirsiniz.

Ayrıca sunumda değinilen memory dump araçları ile yapılabilecekler konusuna Tacettin Karadeniz‘in zararlı linux modüllerinin tespiti ve segmentation fault hatası üzerine verdiği örnekler de oldukça yarayışlı. Hiç dokunmadan paylaşıyorum. Ayrıca memory dump konusuyla ilgili bura ve buradaki yazılara da göz atabilirsiniz.

linux memory dump (6), tacettin karadeniz (5), segmentation fault nedir (4), ram dump nedir (2), ram dump mode nedir (2), #memdump > fdump linux (1), memory dump nedir (1), memory dumps ne demek (1), pardus dump nedir (1), ram dump mode nasıl kullanılır (1), ram dump mode ne işe yara (1), segmentation fault nasıl düzeltilir (1), lunix modü (1), linuxta modül nedir (1), c de segmentation fault nedir? (1)

Programcılıkta güvenlik açısından dikkat edilmesi gereken birçok önemli nokta var. Bunlardan birisi de kullanıcıdan parola girmesini istediğiniz durumlar. Parola ile işiniz bittikten sonra sonra parolayı tutan değişkeni mutlaka temizlemeli ya da karıştırmalısınız. Çünkü programınız çalışmaya devam ettiği sürece parola program belleğinin veri bölgesinde bulunmaya devam eder.  Değişkeni serbest bıraksanız  dahi (free,destroy) hassas verinin RAM’deki alanı üzerine birşey yazılıncaya kadar orada kalmaya devam eder.  Hatta programınızı kapattıktan sonra bile hassas bilgiler RAM bellekte kalmaya devam ederler. Ta ki bir işlem (process) üzerine yazıncaya kadar.

filmde parola girişi yapılan bir programın bellek görüntüsü bir dosyaya kaydedilmekte (veri kesimi dahil) ve daha sonra yardımcı bir program ile hassas bilgiler elde edilmekte.  (thesecrets) Hintli güvenlikçi arkadaşların yeni açtıkları daha başka ilginç filmler de yer alıyor. Göz atmanızı tavsiye ederim.

flowchart türkçe örnekleri 7 (3), hassas bilgiler (1)