Bilişim Suçlarında RAM (Geçici Bellek) Analizinin Önemi
Çok yakın bir zamana kadar, bilişim suçlarında olay yeri inceleme birimlerinin kontrol listesinde “Açık bilgisayarın güç kaynağı kablosunu çekerek kapat” ibaresi yaygın bir şekilde kullanılıyordu. Bu işlemin dayandığı en büyük tez ise, bilgisayarın klasik kapanma esnasında delillerin (wipe ve deep freze) gibi yazılımlar yüzünden zarar görme ihtimaliydi.
Ancak, bilişim suçlarının evrimi, sosyal medya kullanımının yaygınlaşması, malware yazılımların (kötü niyetli yazılımlar) sayısında ve etkisinde yaşanan artışlar, bulut teknolojilerinin yaygınlaşması, kriptolu disk alanlarının kullanımın artması gibi etkenler nedeniyle bilgisayarın RAM’inin (Geçici Bellek) kopyalanarak incelenmesini zorunlu bir standart haline getirmiştir. Artık, olay yeri ekipleri, bilgisayarın güç kablosunu çekmek bir yana, çalışır halde bulunan bir bilgisayarın ilk önce RAM’in kopyasının alınmasının bir zorunluluk olduğunu bilmektedir.
Peki, RAM kopyalamayı bu kadar önemli ve kritik hale getiren nedir? RAM’de ne tür bilgiler bulunmaktadır ve bu bilgiler ne işe yaramaktadır? İşte size cevapları:
- Çalışan prosesler ve hizmetlere ait bilgiler,
- Korumalı yazılımlara ait paketlenmemiş ve kriptolanmamış ham veriler,
- Sistem bilgileri (Örn:En son kapanmadan bu yana geçen zaman),
- Sisteme oturum açan kullanıcılara ait bilgiler,
- Kayıt defteri bilgileri,
- Açık ağ bağlantıları ve ARP önbellek,
- Sohbet kayıtları, sosyal ağ kalıntıları ve MMORPG oyunlarındaki iletişim kayıtları,
- Tarayıcı yazılımlara ait izler ve kayıt bilgileri, ziyaret edilen adres bilgileri,
- Web e-posta üzerinden yapılan en son işlemler,
- Bulut sistemlerine ait teknik bilgi ve veriler,
- Kriptolu disk alanlarına ait anahtarlar,
- En son bakılan fotoğraflar,
- Sistemde çalışan kötü niyetli yazılımlar.
Bu kadar önemli bilgilerin elde edildiği bir delili toplamak ve analiz etmek bir bilişim suçu araştırmacısı ve adli bilişim uzmanı için çok önemlidir. Zira artık pek çok bilişim suçu vakasının çözümünde, sırf disk adli kopyasının incelenmesi kesin sonucu bulmak için yeterli olmamaktadır. Uçucu delil olarak kabul edilen RAM analizi ve ağ aktivite analizinin yapılması bir zorunluluk halini almıştır.
RAM’in adli kopyasını almak ve analiz etmek için kullanılan bazı yazılımlara ait bilgiler aşağıda sunulmuştur:
FTK Imager, www.accessdata.com
Belkasoft Live RAM Capturer, www.belkasoft.com
Magnet Forensics IEF, www.magnetforensics.com
Volatility, www.volatilesystems.com
X-Ways Capture, www.x-ways.net/capture
MoonSols DumpIT, www.moonsols.com/windows-memory-toolkit
BU KONU HAKKINDA UZMANIMIZDAN HEMEN BİLGİ VE DESTEK ALMAK İSTERSENİZ LÜTFEN FOR YOU BİLİŞİM İLETİŞİM HATTIMIZI ARAYINIZ!..