Volatility Nedir, Nasıl Kullanılır? RAM Dump Adli Analiz Adım Adım
Volatility 3 = Python tabanlı açık kaynak memory forensics framework. windows.pslist, windows.malfind, windows.cmdline plugin'leri. RAM dump → analiz adım adım.
Volatility, RAM (geçici bellek) dump dosyaları üzerinde adli inceleme yapmak için kullanılan açık kaynak memory forensics framework'üdür. Güncel sürüm Volatility 3, Python 3 ile yazılmıştır ve Windows, Linux, macOS bellek dökümlerini analiz eder. Tipik kullanım: vol -f memdump.raw windows.pslist.
TL;DR
- Volatility 3 = Python 3 tabanlı, açık kaynak memory forensics framework (BSD lisanslı, github.com/volatilityfoundation/volatility3).
- RAM dump araçları: FTK Imager, Magnet RAM Capture, DumpIt, WinPmem, LiME (Linux).
- Sık kullanılan plugin'ler: windows.pslist, windows.psscan, windows.malfind, windows.cmdline, windows.netscan.
- Volatility 3, sembol tablosu (ISF) otomatik indirir, eski Volatility 2'deki profil tahmini gereksiz.
- Adli süreçte hash zinciri ile birlikte kullanılır (SHA-256), NIST SP 800-86 önerisi.
Detaylı cevap
Volatility nedir, ne işe yarar
Volatility, çalışan bir sistemin RAM içeriğinden alınmış imaj üzerinde aşağıdaki bilgileri çıkarmak için kullanılır:
- Aktif süreç listesi ve gizlenmiş süreçler.
- Açık ağ bağlantıları, dinlenen portlar.
- Kullanılan komut satırı argümanları, çalışan komutlar.
- Yüklü DLL'ler, sürücüler, kernel modülleri.
- Kötücül kod enjeksiyonu izleri (process hollowing, reflective DLL).
- Şifreleme anahtarları (BitLocker, TrueCrypt, LUKS) ve kullanıcı parolaları (LSASS, Mimikatz tarzı çıkarımlar).
- Clipboard içeriği, açık dosyalar, registry hive cache'i.
Volatility 2 ve Volatility 3 farkı
| Özellik | Volatility 2 | Volatility 3 |
|---|---|---|
| Python sürümü | 2.7 (EOL) | 3.7+ |
| Profil seçimi | Manuel (imageinfo) | Otomatik (ISF symbol table) |
| Plugin syntax | volatility -f mem.raw --profile=Win10x64 pslist |
vol -f mem.raw windows.pslist |
| Sürdürülen | Hayır | Evet, aktif |
| Yeni Windows desteği | Win10 22H2'ye kadar | Win11 dahil |
DSET vakalarında 2024 sonrası tüm yeni analizler Volatility 3 ile yapılır. Eski vakalar için yedek olarak Volatility 2 ortamı tutulur.
Kurulum (Linux ve Windows)
# Linux (Ubuntu 22.04)
python3 -m pip install volatility3
# veya kaynaktan
git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 -m pip install -r requirements.txt
python3 vol.py --help
# Windows
py -m pip install volatility3
vol --help
RAM dump nasıl alınır
| Araç | Platform | Lisans | Özellik |
|---|---|---|---|
| FTK Imager (AccessData) | Windows | Ücretsiz | GUI, write blocker uyumlu |
| Magnet RAM Capture | Windows | Ücretsiz | Hızlı, küçük footprint |
| DumpIt | Windows | Ücretsiz | Tek tıkla, USB'den çalışır |
| WinPmem | Windows | Apache 2.0 | CLI, otomasyon dostu |
| LiME (Linux Memory Extractor) | Linux | GPL | Kernel modülü olarak yüklenir |
| osxpmem (eski) | macOS | Apache 2.0 | Modern macOS'ta sınırlı |
Önemli nokta: RAM dump alma işleminin kendisi sistemin bellek durumunu değiştirir (Heisenberg etkisi). DSET olay müdahalede bu işlemi mümkün olan en hafif araçla, USB üzerinden ve idari yetkili hesabıyla yapar. Dump sonrası SHA-256 değeri tutanağa yazılır.
Sık kullanılan 8 plugin (DSET saha tablosu)
| Plugin | Amaç | Tipik komut |
|---|---|---|
| windows.info | İmaj profilini ve sürümünü gösterir | vol -f mem.raw windows.info |
| windows.pslist | Aktif süreç listesi (EPROCESS bağlı) | vol -f mem.raw windows.pslist |
| windows.psscan | Gizlenmiş süreçleri bulur (DKOM tespiti) | vol -f mem.raw windows.psscan |
| windows.pstree | Süreç ağacı, parent-child ilişkisi | vol -f mem.raw windows.pstree |
| windows.cmdline | Süreçlerin komut satırı argümanları | vol -f mem.raw windows.cmdline |
| windows.malfind | Şüpheli enjekte kod blokları | vol -f mem.raw windows.malfind |
| windows.netscan | Açık ağ bağlantıları, portlar | vol -f mem.raw windows.netscan |
| windows.dlllist | Yüklü DLL'ler | vol -f mem.raw windows.dlllist --pid 1234 |
Linux için karşılıkları linux.pslist, linux.psaux, linux.malfind, linux.netstat şeklindedir.
Adım adım örnek: şüpheli süreç analizi
- Hash al ve doğrula.
sha256sum memdump.raw > memdump.sha256. Tutanak ekine konur. - İmaj profilini gör.
vol -f memdump.raw windows.infoile Windows sürümü ve kernel yapısı. - Süreç listesi.
vol -f memdump.raw windows.pslist > pslist.txt. PPID-PID anomalileri (örn. explorer.exe altında olmayan iexplore.exe) işaretlenir. - Gizli süreç taraması.
vol -f memdump.raw windows.psscan. pslist'te olmayıp psscan'da çıkan süreç DKOM saldırısı işaretidir. - Komut satırı.
vol -f memdump.raw windows.cmdline | grep -i powershell. PowerShell'in-enc(encoded) parametresi sık görülen kötücül paterndir. - Kod enjeksiyonu.
vol -f memdump.raw windows.malfind --pid 4892. Çıktıdaki MZ header'lı RWX bölgeleri kuvvetli enjeksiyon kanıtıdır. - Ağ bağlantıları.
vol -f memdump.raw windows.netscan | grep ESTABLISHED. Bilinmeyen IP'ler ile aktif oturumlar threat-intel ile karşılaştırılır. - Bulguları belgele. Her komut çıktısı raporun ekinde, tool sürüm bilgisi (
vol --version) ile birlikte yer alır.
Volatility ve adli kabul edilebilirlik
NIST SP 800-86 "Guide to Integrating Forensic Techniques into Incident Response" Volatility'i bellek analizi araçları arasında örnek olarak listeler. Yargıtay kararlarında Volatility ile elde edilen bulgular, hash zinciri ve metodoloji doğru sunulduğunda kabul görür. Olay müdahale akışı için: /rehber/siber-olay-mudahale-playbook-nist-800-61-checklist. Fidye sonrası RAM dump alımı için: /rehber/fidye-yazilim-ilk-24-saat-aksiyon-cizelgesi.
Sık karşılaşılan hatalar
- Dump'ı kapatılan sistemden almaya çalışmak. RAM, güç kesildikten saniyeler sonra silinir.
- Hash almayı unutmak. Mahkemede delilin değişmediği matematiksel olarak ispatlanamaz.
- ISF symbol dosyası indirilmeden offline ortamda çalıştırmaya çalışmak. Volatility 3 ilk çalışmada internet bağlantısı ister, sonra önbelleğe alır.
- Yanlış mimari dump (32-bit araçla 64-bit sistem dump alma) ile gözden kaçan süreçler.
SSS
Volatility ücretsiz mi?
Evet. Volatility 3, BSD 2-Clause lisansı altında ücretsiz ve açık kaynaktır. Kaynak kodu github.com/volatilityfoundation/volatility3 adresindedir.
Hangi işletim sistemlerini destekler?
Windows XP'den Windows 11'e kadar tüm sürümler, Linux 2.6+ ve macOS (sınırlı). Mobil platformlar (Android, iOS) için ayrı araçlar (LiME + ALEAPP, iOS için BlackBag) gerekir.
Volatility Mimikatz'ın yerini tutar mı?
Tutmaz. Mimikatz canlı sistemde çalışır ve aktif kimlik bilgisi çeker. Volatility ise alınmış RAM dump'ı üzerinde çalışır ve içindeki kimlik bilgisi izlerini (LSASS bölgesi, hashes) çıkarır.
Memory dump kaç GB olur?
Dump boyutu sistemin RAM kapasitesi kadardır. 16 GB RAM'li bir Windows sistemde dump dosyası yaklaşık 16 GB olur, sıkıştırma ile %30-40 küçülebilir.
Yapay zekâ destekli memory analizi mümkün mü?
Evet. Volatility çıktıları (özellikle pslist, malfind, netscan) makine öğrenme modelleriyle anomali tespiti için kullanılır. DSET, AI destekli triage modelini Volatility çıktısı üzerinde çalıştırarak şüpheli süreçleri otomatik önceliklendirir.
DSET Adli Bilişim ve Olay Müdahale Ekibi Hacettepe Teknokent, Beytepe, Ankara 20+ yıl deneyim · ISO 27001 · CHFI/GCFA sertifikalı uzmanlar Telefon: +90 536 662 38 09 · E-posta: [email protected] 7/24 acil RAM dump ve memory forensics.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.