හරි පින්වතුනි අද නම් කරන්න හදන්නේ පොඩ්ඩක් විතර ලොකු වැඩක්
ඒ තමා ලිනක්ස් මැෂින් එකකින් ram එකේ කොපියක් අරන් එකේ මොනාද තියෙන්නේ සහ එකෙන් ගන්න පුළුවන් විස්තර ටිකක් ගැන කතා කරන එක. මේක ඕනි වෙන්නේ ඉතින් වයිරස් එකක් වගේ ආවම එක ගැන හොයන උදවියට සහ Information Security සෙට් එකට තමා
වැඩි කතා ඕනි නෑ අපි වැඩේ පටන් ගමු
ඉස්සෙල්ලම මේකට දාගන්න ඕනි වෙනවා පොඩි පොඩි දේවල් ටිකක්
ඒ ටික මේ කමාන්ඩ් ගහල install කරගන්න
make එක ගැහුවම file එකක් හැදෙනවා lime-4.13.0-36-generic.ko. කියල ඔයාලගේ file name එක වෙනස් වෙන්න පුළුවන් හොඳේ
දැන් අපි ram dump එක ගන්න හදන්නේ
එකට මේ කමාන්ඩ් එක ගහන්න.
දැන් අපි බලමු /boot/ වල මොනාද තියන system මැප් කියල
එකක් ගහල බලාගන්න පුළුවන් මොකක්ද දැනට use කරන්නේ කියල
දැන් ලිනක්ස් වල තියන plugins බලාගන්න මේ කමාන්ඩ් එක ගහන්න.
දැන් අපි බලන්න හදන්නේ අපි ගත්ත memory dump එකේ මොනවද අපිට ගන්න පුළුවන් දේවල් කියල බලන්න.
එකට මේ කමාන්ඩ් එක ගහන්න
වැඩිය මොකුත් නෑ මේ exe එක git එකෙන් ගන්න තියෙන්නේ
https://github.com/thimbleweed/All-In-USB/blob/master/utilities/DumpIt/DumpIt.exe
ඊටපස්සේ ඩබල් ච්ලික් කරා Y අකුර එබුවා හැබැයි ඉඩ තියෙන්න ඕනි 8 gb ram නම් 8ක්ම
දැන් එක අපේ ලිනක්ස් එකට කොපි කරගන්න මේ වගේ
ඉටපස්සේ එක අර කලින් අපි කරා වගේ profile හදන්න ඕනි කතන්දර නෑ මේකෙදි
ram dump එක ගත්තේ මොන windows එකෙන්ද බැලුව profile එක select කරා කමාන්ඩ් එක ගැහුවා
මේකේ තියනව ලිනක්ස් සහ windows වලට එන plugin සෙට් එකම දාල script 2ක් කරන්න තියෙන්නේ clone එකක් අරන් වැඩේ කරන් යන එක
https://github.com/manushaamal/volatility_scripts/tree/dev
මේක ඉතින් අපේ assignment එකක් ඔයාලත් එක්ක සහ අපේ Ethical Hacking කරන අනිත් සෙට් එකත් එක්ක බෙදාගන්න ඕනි උන නිසා පොස්ට් එකක්ම දැම්ම,
එහෙනම් ඉතින් මන් ගිහින් එන්නම්.
උදවු ගත්තේ මේ ලිපියෙන්
ඒ තමා ලිනක්ස් මැෂින් එකකින් ram එකේ කොපියක් අරන් එකේ මොනාද තියෙන්නේ සහ එකෙන් ගන්න පුළුවන් විස්තර ටිකක් ගැන කතා කරන එක. මේක ඕනි වෙන්නේ ඉතින් වයිරස් එකක් වගේ ආවම එක ගැන හොයන උදවියට සහ Information Security සෙට් එකට තමා
වැඩි කතා ඕනි නෑ අපි වැඩේ පටන් ගමු
ඉස්සෙල්ලම මේකට දාගන්න ඕනි වෙනවා පොඩි පොඩි දේවල් ටිකක්
ඒ ටික මේ කමාන්ඩ් ගහල install කරගන්න
sudo apt-get install build-essential sudo apt-get install linux-headers-`uname -r` sudo apt-get install git nano python dwarfdump zip python-distorm3 python-crypto
දැන් LiME එක දාගන්න හදන්නේ Linux Memory එක Extract කරගන්න.
දැන් අපි git එකෙන් clone එකක් අරන් වැඩේ කරමු
git clone https://github.com/504ensicsLabs/LiME cd LiME/src/ make
make එක ගැහුවම file එකක් හැදෙනවා lime-4.13.0-36-generic.ko. කියල ඔයාලගේ file name එක වෙනස් වෙන්න පුළුවන් හොඳේ
දැන් අපි ram dump එක ගන්න හදන්නේ
එකට මේ කමාන්ඩ් එක ගහන්න.
sudo insmod lime-4.13.0-36-generic.ko "path=memory.mem format=lime”
දැන් අපි හදාගන්නවා file එකක් memory.mem කියල අන්න ඒ file එක ඔයාගේ ram එකේ සයිස් එක වෙනවා ඒ කියන්නේ 8 gb නම් ඒ ගාන සෙට් වෙනවා ඒ නිසා ඉඩ නම් ඕනි හාඩ් එකේ මේ වැඩේට.
Installing Volatility
උඩින් අපි ගත්ත ram එකේ dump එක, එත් මේක බලන්න අපිට ඕනි වෙනවා පොඩි මැප් එකක් හරියට manual එකක් වගේ එකක්
එකට අපි කියනවා profile එකක් කියල
මේකෙදි වෙන්නේ අපි අර ram dump එක ගන්න මැෂින් එකේ system මැප් එකයි මොඩියුල් එකකුයි දාල හදාගන්නවා පොඩි මැප් එකක් මෙහෙම address එකක් ආවම එකේ තියෙන්නේ මෙන්න මෙහෙමයි කියල,
හරි දැන් අපි Volatility එක git එකෙන් අරන් වැඩේ පටන් ගමු.
එකට අපි කියනවා profile එකක් කියල
මේකෙදි වෙන්නේ අපි අර ram dump එක ගන්න මැෂින් එකේ system මැප් එකයි මොඩියුල් එකකුයි දාල හදාගන්නවා පොඩි මැප් එකක් මෙහෙම address එකක් ආවම එකේ තියෙන්නේ මෙන්න මෙහෙමයි කියල,
හරි දැන් අපි Volatility එක git එකෙන් අරන් වැඩේ පටන් ගමු.
cd ../../ git clone https://github.com/volatilityfoundation/volatility cd volatility/tools/linux/ make clean make
දැන් අපි බලමු /boot/ වල මොනාද තියන system මැප් කියල
ls -al /boot/
මේකේ සෙට් එකක් එයි අපිට ඕනි වෙන්නේ දැන් යන එක ගන්නනේ අන්න එකට
uname -r
එකක් ගහල බලාගන්න පුළුවන් මොකක්ද දැනට use කරන්නේ කියල
Volatility Profile එක හදාගමු
මේකෙදි කරන්නේ module.dwarf එකයි system මැප් එකයි අරන් profile එක නම දාල zip file එකක් හදාගන්න එක
cd ../../ sudo zip volatility/plugins/overlays/linux/Ubuntu160403-040400-89.zip tools/linux/module.dwarf /boot/System.map-4.13.0-36-generic
Running Volatility
වැඩේ හරිද කියල බලාගන්න මේ කමාන්ඩ් එක ගහන්න
python vol.py --info | grep Linux
වැඩේ හරි නම් මේ නමින් profile එකක් පෙන්නන්න ඕනි LinuxUbuntu160403-040400-89×64.
දැන් ලිනක්ස් වල තියන plugins බලාගන්න මේ කමාන්ඩ් එක ගහන්න.
python ./vol.py --info | grep -i linux_
දැන් අපි බලන්න හදන්නේ අපි ගත්ත memory dump එකේ මොනවද අපිට ගන්න පුළුවන් දේවල් කියල බලන්න.
එකට මේ කමාන්ඩ් එක ගහන්න
sudo python vol.py -f memory.mem --profile=LinuxUbuntu160403-040400-89x64 linux_bash
මේකේ output එක වෙනම ෆයිල් එකකට ගන්න
sudo python vol.py -f memory.mem --profile=LinuxUbuntu160403-040400-89x64 linux_bash > linux_bash.txtකියල ගහල ගන්න පුළුවන්
දැන් බලමු windows වල ram එකේ dump එක ගන්නේ කොහොමද කියල
වැඩිය මොකුත් නෑ මේ exe එක git එකෙන් ගන්න තියෙන්නේ
https://github.com/thimbleweed/All-In-USB/blob/master/utilities/DumpIt/DumpIt.exe
ඊටපස්සේ ඩබල් ච්ලික් කරා Y අකුර එබුවා හැබැයි ඉඩ තියෙන්න ඕනි 8 gb ram නම් 8ක්ම
දැන් එක අපේ ලිනක්ස් එකට කොපි කරගන්න මේ වගේ
ඉටපස්සේ එක අර කලින් අපි කරා වගේ profile හදන්න ඕනි කතන්දර නෑ මේකෙදි
python vol.py --infoඑකක් ගහන්න එකේ එයි windows වලට අදාළ profile සෙට් එක
ram dump එක ගත්තේ මොන windows එකෙන්ද බැලුව profile එක select කරා කමාන්ඩ් එක ගැහුවා
sudo python volatility/vol.py -f MANUSHA-PC-20180723-122115.raw --profile=Win7SP1x64_24000 amcache
මේකේ තියනව ලිනක්ස් සහ windows වලට එන plugin සෙට් එකම දාල script 2ක් කරන්න තියෙන්නේ clone එකක් අරන් වැඩේ කරන් යන එක
https://github.com/manushaamal/volatility_scripts/tree/dev
මේක ඉතින් අපේ assignment එකක් ඔයාලත් එක්ක සහ අපේ Ethical Hacking කරන අනිත් සෙට් එකත් එක්ක බෙදාගන්න ඕනි උන නිසා පොස්ට් එකක්ම දැම්ම,
එහෙනම් ඉතින් මන් ගිහින් එන්නම්.
උදවු ගත්තේ මේ ලිපියෙන්