Bellek derlemek çoğunlukla digital forensics incelemelerinde birinci basamaktır.
Herhangi bir incelemeye başlamadan önce hafızayı elde etmemiz gereklidir.
Bilgisayarın memorysi alabilmek için çokça çözüm yolu mevcut.
Ben genelde opensource yani açık kaynaklı ve ücretsiz olan yazılımların anlatımını yapıyorum, yapmaya da devam ediyorum.
Burada kısa bir uyarı geçeyim bilmeyenler için.
RAM imajı alırken işler farklı yürüdüğü için işlemi yaptığımız sistem üzerinde saklama yapmamamız gerekli.
Neden peki diye soracaklar için cevaplayayım.
Kaydedilen imaj işlem yapılan sistem üzerinde saklanır ise elde edilen imaja delil gözüyle baktığımızdan delil değişikliğe uğrar.
Bu nedenle saklamayı farklı bir sistem üzerinde yapmakta fayda var.
Uyarı ya da hatırlatmamı yaptığıma göre konuma geri dönebilirim.
Artık forensics bölümünde gezinen herkesin bildiği üzere bellek incelemeleri, incelenen sistem ve kullanıcıları ile ilgili çokça veri saklar.
Zaten işimiz de bu veriler ile.
Bu deliller hiçbir durumda sabit diske yazılmamalıdır.
Yukarıda sebebini anlattım.
Çoğunlukla page ya da hiberfil dediğimiz .sys uzantılı bölümlerde bulunduruyoruz.
Sonuç olarak atılan ya da alınan mailler hatta gizli sekme ile aranan bazı web uygulamaları verileri belleğe loglar.
İşte bu da delillerin sabit sürücüden kurtarılamayacağı anlamını taşır.
Bu kadar ek bilgi yeterli diye düşünerekten sizler için 3 adet bellek elde edebileceğimiz yazılımları göstereceğim.
Magnet RAM Capture
Bu yazılım windows'un eski ve yeni olmak üzere tüm sürümlerinde işlem yapabilmek adına bizlere yardımcı olur.
(Örneğin: Win2003, XP, Win8, WİN10 vs vs.)
Yazılım gayet basit ve göze hitap eden bir GUI'ye ev sahipliği ediyor.
İşlemlerimizi .DMP uzantısı sayesinde ham bir döküm haline getirir.
Herhangi bir incelemeye başlamadan önce hafızayı elde etmemiz gereklidir.
Bilgisayarın memorysi alabilmek için çokça çözüm yolu mevcut.
Ben genelde opensource yani açık kaynaklı ve ücretsiz olan yazılımların anlatımını yapıyorum, yapmaya da devam ediyorum.
Burada kısa bir uyarı geçeyim bilmeyenler için.
RAM imajı alırken işler farklı yürüdüğü için işlemi yaptığımız sistem üzerinde saklama yapmamamız gerekli.
Neden peki diye soracaklar için cevaplayayım.
Kaydedilen imaj işlem yapılan sistem üzerinde saklanır ise elde edilen imaja delil gözüyle baktığımızdan delil değişikliğe uğrar.
Bu nedenle saklamayı farklı bir sistem üzerinde yapmakta fayda var.
Uyarı ya da hatırlatmamı yaptığıma göre konuma geri dönebilirim.
Artık forensics bölümünde gezinen herkesin bildiği üzere bellek incelemeleri, incelenen sistem ve kullanıcıları ile ilgili çokça veri saklar.
Zaten işimiz de bu veriler ile.
Bu deliller hiçbir durumda sabit diske yazılmamalıdır.
Yukarıda sebebini anlattım.
Çoğunlukla page ya da hiberfil dediğimiz .sys uzantılı bölümlerde bulunduruyoruz.
Sonuç olarak atılan ya da alınan mailler hatta gizli sekme ile aranan bazı web uygulamaları verileri belleğe loglar.
İşte bu da delillerin sabit sürücüden kurtarılamayacağı anlamını taşır.
Bu kadar ek bilgi yeterli diye düşünerekten sizler için 3 adet bellek elde edebileceğimiz yazılımları göstereceğim.
Magnet RAM Capture
Bu yazılım windows'un eski ve yeni olmak üzere tüm sürümlerinde işlem yapabilmek adına bizlere yardımcı olur.
(Örneğin: Win2003, XP, Win8, WİN10 vs vs.)
Yazılım gayet basit ve göze hitap eden bir GUI'ye ev sahipliği ediyor.
İşlemlerimizi .DMP uzantısı sayesinde ham bir döküm haline getirir.
