Bellek Görüntüsü Analizi, bir bilgisayarın bellek içeriğini ayrıntılı olarak incelemek için kullanılan bir tekniktir. Bu analiz, genellikle bir sistemde meydana gelen güvenlik ihlalleri veya hatalar sonrası yapılan adli incelemelerde kullanılır. Bellek görüntüsü, bir bilgisayarın RAM'inde bulunan tüm verilerin bit düzeyinde bir kopyasıdır ve bu kopya, şüpheli aktivitelerin veya kötü amaçlı yazılımların analizinde kritik bir öneme sahiptir.
Volatility adlı araç, bellek görüntülerinin analizini yapmak için yaygın olarak kullanılan bir açık kaynaklı forensik analiz aracıdır. Volatility, farklı işletim sistemlerinin bellek dökümlerini analiz edebilir ve çeşitli bilgileri ortaya çıkarabilir. İşte Volatility ile yapılan bazı temel işlemler:
imageinfo Komutu: Bu komut, bir bellek görüntüsünün temel bilgilerini belirlemek için kullanılır. imageinfo komutu, bellek görüntüsündeki işletim sistemi, yapılandırma ve diğer önemli bilgileri belirler. Bu bilgiler, daha ileri analizler için gerekli profil bilgilerini sağlar.
notepad Komutu: Bu komut, belirli bir işletim sistemi profilini kullanarak, bellek görüntüsünde belirli bir işlemi (bu örnekte Notepad uygulamasını) bulmak ve incelemek için kullanılır. Bu komut sayesinde, bellek görüntüsündeki Notepad uygulamasının çalışma durumu, açılan dosyalar ve diğer önemli detaylar hakkında bilgi edinilebilir.
Komut Açıklamaları:
volatility -f john.mem imageinfo: Bu komut, john.mem adlı bellek görüntüsünün temel bilgilerini alır ve analiz eder. Bu komutun çıktısı, işletim sistemi hakkında bilgi sağlar ve daha ileri incelemeler için kullanılacak doğru profilin belirlenmesine yardımcı olur.
volatility -f john.mem --profile=WinXPSPx86 notepad: Bu komut, john.mem bellek görüntüsünde WinXPSPx86 profili kullanılarak Notepad uygulamasını incelemek için kullanılır. Bu komut, Notepad'in bellek içindeki izlerini ve ilişkili verileri detaylı bir şekilde ortaya çıkarır.
Bu komutlar, bellek içindeki süreçlerin ve uygulamaların detaylı bir incelemesini yaparak, potansiyel güvenlik sorunlarını veya adli bulguları ortaya çıkarmak için kullanılır. Volatility aracılığıyla yapılan bu tür analizler, hem siber güvenlik hem de dijital adli tıp alanlarında önemli bir rol oynar.