ugur4721 Posted August 30, 2014 Share Posted August 30, 2014 RAM Çok önemli Çok yakın bir zamana kadar, bilişim suçlarında olay yeri inceleme birimlerinin kontrol listesinde “Açık bilgisayarın güç kaynağı kablosunu çekerek kapat” ibaresi yaygın bir şekilde kullanılıyordu. Bu işlemin dayandığı en büyük tez ise, bilgisayarın klasik kapanma esnasında delillerin (wipe ve deep freze) gibi yazılımlar yüzünden zarar görme ihtimaliydi. Ancak, bilişim suçlarının evrimi, sosyal medya kullanımının yaygınlaşması, malware yazılımların (kötü niyetli yazılımlar) sayısında ve etkisinde yaşanan artışlar, bulut teknolojilerinin yaygınlaşması, kriptolu disk alanlarının kullanımın artması gibi etkenler nedeniyle bilgisayarın RAM’inin (Geçici Bellek) kopyalanarak incelenmesini zorunlu bir standart haline getirmiştir. Artık, olay yeri ekipleri, bilgisayarın güç kablosunu çekmek bir yana, çalışır halde bulunan bir bilgisayarın ilk önce RAM’in kopyasının alınmasının bir zorunluluk olduğunu bilmektedir. Peki, RAM kopyalamayı bu kadar önemli ve kritik hale getiren nedir? RAM’de ne tür bilgiler bulunmaktadır ve bu bilgiler ne işe yaramaktadır? İşte size cevapları: - Çalışan prosesler ve hizmetlere ait bilgiler, - Korumalı yazılımlara ait paketlenmemiş ve kriptolanmamış ham veriler, - Sistem bilgileri (Örn:En son kapanmadan bu yana geçen zaman), - Sisteme oturum açan kullanıcılara ait bilgiler, - Kayıt defteri bilgileri, - Açık ağ bağlantıları ve ARP önbellek, - Sohbet kayıtları, sosyal ağ kalıntıları ve MMORPG oyunlarındaki iletişim kayıtları, - Tarayıcı yazılımlara ait izler ve kayıt bilgileri, ziyaret edilen adres bilgileri, - Web e-posta üzerinden yapılan en son işlemler, - Bulut sistemlerine ait teknik bilgi ve veriler, - Kriptolu disk alanlarına ait anahtarlar, - En son bakılan fotoğraflar, - Sistemde çalışan kötü niyetli yazılımlar. Bu kadar önemli bilgilerin elde edildiği bir delili toplamak ve analiz etmek bir bilişim suçu araştırmacısı ve adli bilişim uzmanı için çok önemlidir. Zira artık pek çok bilişim suçu vakasının çözümünde, sırf disk adli kopyasının incelenmesi kesin sonucu bulmak için yeterli olmamaktadır. Uçucu delil olarak kabul edilen RAM analizi ve ağ aktivite analizinin yapılması bir zorunluluk halini almıştır. RAM’in adli kopyasını almak ve analiz etmek için kullanılan bazı yazılımlara ait bilgiler aşağıda sunulmuştur: FTK Imager, http://www.accessdata.com/ Belkasoft Live RAM Capturer, http://www.belkasoft.com/ Magnet Forensics IEF, http://www.magnetforensics.com/ Volatility, http://www.volatilesystems.com/ X-Ways Capture, http://www.x-ways.net/ Quote Link to comment Share on other sites More sharing options...
denizduac5 Posted September 2, 2014 Share Posted September 2, 2014 Vay be, bir gün "Heykır" olursam olay yerinden kaçmadan önce ilk yapacağım iş Ram'i sökmek olacak :D Quote Link to comment Share on other sites More sharing options...
bates54 Posted September 4, 2014 Share Posted September 4, 2014 (edited) Bir gün heykır olursan, bellekteki bilgileri yoketmek için ram i sökmekle uğraşma. bilgisayarı kapat yeter ;) Edited September 4, 2014 by bates54 Quote Link to comment Share on other sites More sharing options...
003 Posted September 4, 2014 Share Posted September 4, 2014 Uuuuuu. HDD. Ram. Acaba başka nereleri inceliyorlar Quote Link to comment Share on other sites More sharing options...
ossolak33 Posted September 4, 2014 Share Posted September 4, 2014 (edited) Çok bilgim yok ama ramler temizlenmesi kolay olan parçalar saniyede gb lerce bilgi işlenip çıkıyor ama bu kadar hız temizlenmesini de kolaylaştırıyor. daha çok hdd üzerindeki bilgiler çok tehlikeli lowlevel format atılmadığı sürece temizleme başarılı olmuyor low levelin süresi de çok uzun(neyse vazgeçtim suça teşviğin alemi yok siliyorum millet) Edited September 4, 2014 by ossolak33 Quote Link to comment Share on other sites More sharing options...
denizduac5 Posted September 4, 2014 Share Posted September 4, 2014 Çok bilgim yok ama ramler temizlenmesi kolay olan parçalar saniyede gb lerce bilgi işlenip çıkıyor ama bu kadar hız temizlenmesini de kolaylaştırıyor. daha çok hdd üzerindeki bilgiler çok tehlikeli lowlevel format atılmadığı sürece temizleme başarılı olmuyor low levelin süresi de çok uzun(neyse vazgeçtim suça teşviğin alemi yok siliyorum millet) Haklısın zero fill gibi bi' temizleme ister o iş. En iyisi de Maxtor Maxblast bence. Quote Link to comment Share on other sites More sharing options...
ossolak33 Posted September 4, 2014 Share Posted September 4, 2014 hocam sildiğim bölüm kabaca EMP tarzı her şeyi toptan silen ve geri döndürülemez şekilde hasar veren bir şey de dediğim gibi gerek yok o kadar hackerliğe destek vermemin bir alemi yok nihayetinde bu bilgileri bi sen ben gibi adam kullanmayacak ülkeye ekonomiye saldıran adamlar da var. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.