رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
RAM، شاهدی خاموش در صحنه جرم
#1
Tongue 
شما هم جز همان افرادی هستید که در طول روز بارها و بارها از طرق مختلف به اکانت های متعدد خود از جمله؛ جی-میل، یاهو، اتوماسیون، وبلاگ و… وارد می‌شوید و بسیاری از این ورودها را بر روی سیستمی غیر از سیستم شخصی خود (سیستم دوستان، محل کار، کافی نت) انجام می‌دهید؟!
احتمالاً پاسخ شما مثبت است اما با افتخار میگویید که «هم تیک ذخیره نشدن پسورد را می‌زنم و هم در انتها از حساب کاربری خود خارج می‌شوم. پس جای نگرانی وجود ندارد!»
اما حقیقت بسیار نگران کننده است. در مطلبی که پیش رو دارید درباره یکی از روش‌های بازیابی و افشای اطلاعات ورود به حساب‌های کاربری می‌پردازیم. این روش یکی از روش‌های متداول Computer Forensic (پزشکی قانونی کامپیوتری) در صحنه جرم نیز می‌باشد. اما نیازمندی‌های ما :

۱- یک ادیتور هگزا دسیمال مانند WinHex یا HexWorkshop
۲- یک ذخیره کننده RAM مانند Dumpit Tool
۳- یک سیستم قربانی!

در ابتدا بهتر است نقش قربانی را بازی کنیم، پس یک مرورگر دلخواه را باز کرده و به یک یا چند حساب کاربری خود (به عنوان مثال به اکانت وردپرس و جی-میل) وارد می‌شویم. پس از وارد کردن نام کاربری و کلمه عبور، به درخواست مرورگر مبنی بر ذخیره کلمه عبور پاسخ منفی می‌دهیم.
پس از لود شدن حساب کاربری مذکور، به بخش Sign out رفته و از حساب کاربری خود خارج می‌شویم و سپس مرورگر را نیز می‌بندیم. حتماً از خود می‌پرسید؛ «پس تا کنون همیشه نقش قربانی را داشته‌ام؟!» پاسخ بسیار نزدیک به «بله» می‌باشد؛ اما به راستی چه خلأ امنیتی در پشت این عملکرد به ظاهر امن نهفته است؟

برای پاسخ بالا، از نقش قربانی خارج و در نقش یک هکر و یا یک پلیس بخش امنیت در صحنه جرم ظاهر می‌شویم. نرم‌افزار Dumpit را بر روی سیستم قربانی اجرا و در پاسخ به شروع ذخیره‌سازی حافظه موجود در Y ، RAM را تایپ می‌کنیم. بلافاصله فایلی با پسوند raw در پوشه فایل dumpit.exe ایجاد می‌شود، صبر می‌کنیم تا پیام موفق بودن ذخیره‌سازی را در محیط کنسولی Dumpit دریافت کنیم. حجم فایل raw ساخته‌شده برابر با میزان حافظه RAM دستگاه (در اینجا حدوداً ۳ گیگ) می‌باشد که حاوی مطالب بسیار ارزشمندی از لحظه روشن شدن سیستم تا کنون می‌باشد.

[عکس: rc17-01.png]
 
از نرم‌افزار Dumpit خارج شده و فایل raw ایجاد شده را در ادیتور WinHex باز می‌کنیم. سطر و ستون‌های متعدد از اعداد هگزا دسیمال در نگاه اول گیج‌کننده به نظر می‌رسد. در بخش view یا با زدن F7 گزینه Text Display only را انتخاب می‌کنیم. سپس به بخش جستجوی WinHex (که با آیکون دوربین نمایش داده می‌شود) رفته و به جستجوی حوادث اتفاق افتاده در سیستم می‌گردیم، به عنوان مثال با جستجوی واژه pwd یا passwd و خواندن متن دنباله آن در RAM ذخیره‌شده می‌توانیم کلیه کلمات عبور واردشده را بازیابی کنیم. شکل زیر نام کاربری و کلمه عبور اکانت وردپرسی را که در ابتدا در نقش قربانی وارد کردیم را نشان می‌دهد. باید توجه داشت که بازیابی کلمه عبور و سایر مشخصات امنیتی در صورت عدم استفاده از پروتکل ssl (مانند اکانت وردپرس در شکل زیر) بدون نیاز یه رمزگشایی انجام خواهد شد، اما در صورت استفاده از پروتکل ssl باید به مراحل فوق، رمزگشایی را نیز اضافه کنیم، که کمی کار را طولانی تر یا پیچیده تر میکند (مانند اکانت جی-میل).

[عکس: rc17-02.png]
 
به همین صورت و با جستجوی کلمات کلیدی دیگر می‌توان از RAM دستگاه قربانی که دیگر فرار نبوده و در یک فایل raw ذخیره شده است، اطلاعات بسیار مهمی را برای کشف حقیقت استخراج و به دادگاه ارائه کرد. با توجه به مطالب گفته شده، به نظر شما بزرگ‌ترین اشتباه یک نیروی پلیس در صحنه جرمی که یک سیستم روشن نیز در آن حضور دارد چه می‌تواند باشد؟


منبع






عشق، عینک سبزی است که انسان با آن کاه را یونجه می بیند..... <<مارک تواین>> [عکس: 41519046592302695883.gif]
پاسخ
سپاس شده توسط Cloner


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان