Geçenlerde NetSec eposta listesinde birisi memory dump için araç tavsiyesi istedi. Konuyla ilgili olarak hem Linux hem de Windows‘ta geçerli olan mdd uygulaması bu iş için uygun gözüküyor. Memory dump nedir neden gerekir? RAM bellekte yüklü ve çalışmakta olan işlemlerin (process) veri ve kod bloklarının rahatça debug edilebilmesi için diske kopyalanması gerekir. Bellekte çalışmakta olan bu işlem üst katman bir uygulama olabileceği gibi kendini daha iyi gizlemek için kernel mode ya da driver modda çalışan düşük seviyeli bir işlem de olabilir. Bu işlemleri incelemek ve kendini gizlemiş kötü amaçlı yazılımları tespit için RAM’in tamamının dump edilmesi gerekebilir. Ayrıca çalışmakta ve kilitli konumdaki bir Windows’tan parola hash’ini sökmek için de dump kullanılmıştı. Biraz farklı ve ilginç sayılabilecek bu yöntemin ayrıntılarına buradan bakabilirsiniz. Daha çok forensic (adli bilişim suçu analizi) amaçlı bilgilerin verildiği ve mdd ile diğer araçların tanıtıldığı sunumu aşağıdaki bağlantıdan indirebilirsiniz.
[Download not found]Ayrıca sunumda değinilen memory dump araçları ile yapılabilecekler konusuna Tacettin Karadeniz‘in zararlı linux modüllerinin tespiti ve segmentation fault hatası üzerine verdiği örnekler de oldukça yarayışlı. Hiç dokunmadan paylaşıyorum. Ayrıca memory dump konusuyla ilgili bura ve buradaki yazılara da göz atabilirsiniz.
ipv 6238080 10
whymymodule 6528 0 <—???? İlginç bir eklenti
binfmt_aout 6668 0
af_packet 17160 4
tsdev 6208 0
autofs4 17284 1
evdev 7936 0
.whymymodule.mod.o.cmd
.whymymodule.o.cmd
user-home-X.X.X.X:~/why$ N
whymymodule
user-home-X.X.X.X:~/why$ lex 4096 Jul 26 18:05 ..
[malex-X.X.X.X:~$ cd why/
./whysh1t /usr/X11R6/lib/libdps.a <—————————–
-rw-r–r– 1 root root 8042 Jul 26 18:49 whymymodule.ko
-rwxr-xr-x 1 alex alex 476053 Jul 26 18:04 whyproc
-rwxr-xr-x 1 alex alex 15580 Jul 26 18:05 whysh1t
user-home-X.X.X.X:~/why$
whymymodule.c
whymymodule.mod.c
whymymodule
…Yukarıda örnekte ‘ why ‘ ile baslayan kelime taraması yaptık. İnceleme sonucu bu modül “user-home” isimli kullanıcı adı altında oluşturulduğunu gördük.
