Menu
» » » » » » » » » Volatility ile Memory Dump Üzerinden Yerel Yönetici Parolası Ele Geçirme

Günümüzün en çok ilgi gören bilgi güvenliği alanlarından biri olan forensic konusuna dair olan bu notta Windows XP SP3 işletim sistemine sahip bir makineye ait mevcut memory dump dosyası (.vmem) üzerinden Volatility aracı kullanılarak Administrator parolasının ele geçirme yöntemi açıklanacaktır. Volatility her ne kadar çok geniş kullanım seçenekleri sunsa da bu notta SAM ve SYSTEM dosyalarının yerlerinin tespiti sonrasında hashdump alınması ve sonrasında ele geçirilen hashlerin kırılması gösterilecektir.
"Notta incelenecek memory dump dosyasına bağlantıdan erişilebilir."
Backtrack5 ile varsayılan olarak gelen Volatility aracına -f parametresi ile mevcut memory dump dosyası girdi olarak verilip hivescan parametresi ile registry hive değerlerinin fiziksel adresleri bulunabilir:

# python volatility.py -f ../xp_forensics.vmem --profile=WinXPSP3x86 hivescan

hivelist plugini ile sanal adresler belirlenebilir:

# python volatility.py -f ../xp_forensics.vmem --profile=WinXPSP3x86 hivelist
Volatile Systems Volatility Framework 1.4_rc1
Virtual     Physical    Name
0xe1cf9008  0x19524008  \??\C:\Documents and Settings\mr_esclave\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[...]
0xe15fdb60  0x0688ab60  \Device\HarddiskVolume1\WINDOWS\system32\config\software
0xe15ebb60  0x06708b60  \Device\HarddiskVolume1\WINDOWS\system32\config\default
0xe15fd008  0x0688a008  \Device\HarddiskVolume1\WINDOWS\system32\config\SECURITY
0xe15f2658  0x066cf658  \Device\HarddiskVolume1\WINDOWS\system32\config\SAM
0xe12eb288  0x02d58288  [no name]
0xe1035b60  0x02a9fb60  \Device\HarddiskVolume1\WINDOWS\system32\config\system
0xe102e008  0x02a99008  [no name]
0x8066e904  0x0066e904  [no name]

Yukarıda da görüldüğü üzere SAM ve SYSTEM dosyalarının yerleri belirlendikten sonra hashdump pluginine bu dosyaların adresleri verilerek Administrator hash'i elde edilebilir.

# python volatility.py -f ../xp_forensics.vmem --profile=WinXPSP3x86 hashdump -y 0xe1035b60 -s 0xe15f2658
Volatile Systems Volatility Framework 1.4_rc1
Administrateur:500:a94c6377a507e293d87f0f06a65161cd:ca5cf9cfc07ec43a78d00bc936242594:::

Bu noktadan sonra JtR, Ophcrack ve Rainbow Tabloları ile bu hash kırılabileceği gibi bağlantıdan erişilebilecek online siteler aracılığı ile elde ettiğimiz hash kırılabilir.
Volatiliy için daha detaylı bilgi edinmek amacıyla aşağıdaki kaynaktan yararlanabilirsiniz.

How_to_use_Volatility_v2.pdf

Posted by
Labels: , , , , , , ,

Share to:

at 1:03 AM

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)
 
Top