Volatility Framework

Volatility Framework, RAM (bellek) adli analizi icin kullanilan lider acik kaynakli bir aractir. Calisir haldeki veya dondurulmus bir sistemin bellek dumpini analiz ederek calisan prosesler, ag baglantilari, sifreleme anahtarlari, parolalar, kotu amacli yazilimlar ve gizli verileri ortaya cikarabilirsiniz. Siber guvenlik arastirmacilari ve olay muzahade uzmanlarinin vazgecilmez aracıdır.

Volatility ile Neler Analiz Edilebilir?

• Proses Listesi – RAM da calisan tum prosesleri goster; gizlenmis (rootkit) prosesleri tespit et
• Ag Baglantilari – Hafizadaki ag soket ve TCP baglantilari
• Registry Anahtarlari – Windows registry hive lerini bellekten oku
• Sifreleme Anahtarlari – VeraCrypt, BitLocker, TrueCrypt anahtarlarini bul
• Parola Hashlari – Windows SAM ve LSASS den kimlik bilgilerini cikart
• Zarali Yazilim Analizi – Bellekteki shellcode, injected DLL ve hooklari tespit et
• Tarayici Gecmisi – Bellekten tarayici gecmisi ve sifrelenmis veri

RAM dump analizi nasil yapilir?

Once bellek dumpini alin. Windows icin WinPmem veya Magnet RAM Capture kullanialbilir. Sonra Volatility ile: python vol.py -f bellek.dmp imageinfo Bu komut dump un profilini tespit eder. Ardindan: python vol.py -f bellek.dmp --profile=Win10x64 pslist ile proses listesini cekebilirsiniz.

Zarali yazilim bellekte nasil bulunur?

Volatility ile su pluginleri kullanin: malfind – bellekte gizlenebilecek kotu amacli kodu tespit eder; hollowfind – proses hollowing saldirilarini bulur; dlllist – her prosese yuklenmis DLL leri listeler. Asagidaki komut ozel islemler olmayan proseslerde bellege inject edilmis kodu arar: python vol.py -f dump.mem malfind

Windows parolalari bellekten nasil cikartilir?

LSASS proses belleginden kimlik bilgileri cikartilabilir: python vol.py -f dump.mem --profile=Win10x64 hashdump veya mimikatz plugin i ile duz metin parolalara erisimk saglanabilir. Bu teknik yalnizca yasal izinle yapilmis sistemlerde kullanilmalidir.

Volatility 2 mi yoksa 3 mu kullanilmali?

Volatility 3, 2024 itibar ile aktif gelistirilen surumudur. Python 3 gerektirir ve profil sistemi yerine ISF (Intermediate Symbol Format) kullanir. Volatility 2 artik bakım modundadir ancak eski pek cok plugin hala V2 da calisir. Yeni kullanicilarin V3 ile baslamasi onerilir.