CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Kernel Memory Forensics ve Bellek Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Kernel Memory Forensics ve Bellek Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Kernel Memory Forensics ve Bellek Analizi

Kernel Memory Forensics, çalışan sistem belleğinin analiz edilerek rootkit, malware, gizlenmiş süreçler ve kernel manipülasyonlarının tespit edilmesini sağlar. Reverse engineering ve olay müdahale süreçlerinde bellek analizi kritik öneme sahiptir.

Giris ve Temel Akis

Kernel Memory Forensics, çalışan sistem belleğinin analiz edilerek rootkit, malware, gizlenmiş süreçler ve kernel manipülasyonlarının tespit edilmesini sağlar. Reverse engineering ve olay müdahale süreçlerinde bellek analizi kritik öneme sahiptir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Bellek İmajı Al
  • Profil Belirle
  • Belleği Parse Et
  • Kernel Yapılarını İncele
  • Anomalileri Tespit Et
  • Rapor Oluştur

Temel Kavram Eslesmeleri

Bellek adli analizinde kullanılan temel kavramlar farklı amaçlara hizmet eder.

  • Memory Dump: Bellek görüntüsünü içerir
  • Profile: İşletim sistemi yapısını tanımlar
  • Kernel Object: Kernel veri yapısını temsil eder
  • Artifact: İnceleme sırasında elde edilen bulgu

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Memory Dump olarak verilir. Bellek adli analizinin ilk adımlarından biri sistem belleğinin görüntüsünü elde etmektir.

Arac, Komut veya Inceleme Akisi

Bir analist bellek incelemesi yaparken önce süreçleri, ardından kernel nesnelerini inceler.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Belleği Yükle
  • Süreçleri Listele
  • Kernel Nesnelerini İncele
  • Şüpheli Yapıları Bul
  • Davranışı Analiz Et

Kanit ve Bilesen Iliskileri

Bellek analizinde incelenen kernel yapıları farklı bilgiler sağlar.

  • EPROCESS: Süreç bilgileri
  • ETHREAD: Thread bilgileri
  • DRIVER_OBJECT: Driver bilgileri
  • FILE_OBJECT: Dosya nesneleri

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram EPROCESS olarak verilir. Kernel memory forensics sırasında süreç bilgilerini içeren yapı sıklıkla analiz edilir.

Operasyonel Dogrulama ve Raporlama

Rootkit tespitinde bellek analiz araçları görünmeyen süreçleri ortaya çıkarabilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Bellek İmajını Aç
  • Aktif Süreçleri Tara
  • Kernel Listelerini Tara
  • Tutarsızlık Bul
  • Rootkit Şüphesi Oluştur

Cikti ve Kullanım Amaci

Bellek analizi sırasında kullanılan araçlar farklı yetenekler sunar.

  • Volatility: Bellek adli analizi
  • Rekall: Bellek artefact inceleme
  • WinDbg: Kernel bellek analizi
  • DumpIt: Bellek imajı alma

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Volatility olarak verilir. Bellek adli analizinde en yaygın kullanılan açık kaynak araçlardan biri Volatility'dir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Kernel Memory Forensics ve Bellek Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Memory Dump, Profile, Kernel Object, Artifact, EPROCESS, ETHREAD, DRIVER_OBJECT, FILE_OBJECT, Volatility, Rekall. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.