Günümüzün en çok ilgi gören bilgi güvenliği alanlarından biri olan forensic konusuna dair olan bu notta Windows XP SP3 işletim sistemine sahip bir makineye ait mevcut memory dump dosyası (.vmem) üzerinden Volatility aracı kullanılarak Administrator parolasının ele geçirme yöntemi açıklanacaktır. Volatility her ne kadar çok geniş kullanım seçenekleri sunsa da bu notta SAM ve SYSTEM dosyalarının yerlerinin tespiti sonrasında hashdump alınması ve sonrasında ele geçirilen hashlerin kırılması gösterilecektir.
"Notta incelenecek memory dump dosyasına bağlantıdan erişilebilir."
Backtrack5 ile varsayılan olarak gelen Volatility aracına -f parametresi ile mevcut memory dump dosyası girdi olarak verilip hivescan parametresi ile registry hive değerlerinin fiziksel adresleri bulunabilir:
# python volatility.py -f ../xp_forensics.vmem --profile=WinXPSP3x86 hivescan
hivelist plugini ile sanal adresler belirlenebilir:
# python volatility.py -f ../xp_forensics.vmem --profile=WinXPSP3x86 hivelist
Volatile Systems Volatility Framework 1.4_rc1
Virtual Physical Name
0xe1cf9008 0x19524008 \??\C:\Documents and Settings\mr_esclave\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[...]
0xe15fdb60 0x0688ab60 \Device\HarddiskVolume1\WINDOWS\system32\config\software
0xe15ebb60 0x06708b60 \Device\HarddiskVolume1\WINDOWS\system32\config\default
0xe15fd008 0x0688a008 \Device\HarddiskVolume1\WINDOWS\system32\config\SECURITY
0xe15f2658 0x066cf658 \Device\HarddiskVolume1\WINDOWS\system32\config\SAM
0xe12eb288 0x02d58288 [no name]
0xe1035b60 0x02a9fb60 \Device\HarddiskVolume1\WINDOWS\system32\config\system
0xe102e008 0x02a99008 [no name]
0x8066e904 0x0066e904 [no name]
Yukarıda da görüldüğü üzere SAM ve SYSTEM dosyalarının yerleri belirlendikten sonra hashdump pluginine bu dosyaların adresleri verilerek Administrator hash'i elde edilebilir.
# python volatility.py -f ../xp_forensics.vmem --profile=WinXPSP3x86 hashdump -y 0xe1035b60 -s 0xe15f2658
Volatile Systems Volatility Framework 1.4_rc1
Administrateur:500:a94c6377a507e293d87f0f06a65161cd:ca5cf9cfc07ec43a78d00bc936242594:::
Bu noktadan sonra JtR, Ophcrack ve Rainbow Tabloları ile bu hash kırılabileceği gibi bağlantıdan erişilebilecek online siteler aracılığı ile elde ettiğimiz hash kırılabilir.
Volatiliy için daha detaylı bilgi edinmek amacıyla aşağıdaki kaynaktan yararlanabilirsiniz.
0 comments:
Post a Comment