RAM، شاهدی خاموش در صحنه جرم

  |

شما هم جز همان افرادی هستید که در طول روز بارها و بارها از طرق مختلف به اکانت های متعدد خود از جمله؛ جی-میل، یاهو، اتوماسیون، وبلاگ و… وارد می‌شوید و بسیاری از این ورودها را بر روی سیستمی غیر از سیستم شخصی خود (سیستم دوستان، محل کار، کافی نت) انجام می‌دهید؟! احتمالاً پاسخ شما مثبت است اما با افتخار میگویید که «هم تیک ذخیره نشدن پسورد را می‌زنم و هم در انتها از حساب کاربری خود خارج می‌شوم. پس جای نگرانی وجود ندارد!»
اما حقیقت بسیار نگران کننده است. در مطلبی که پیش رو دارید درباره یکی از روش‌های بازیابی و افشای اطلاعات ورود به حساب‌های کاربری می‌پردازیم. این روش یکی از روش‌های متداول Computer Forensic (پزشکی قانونی کامپیوتری) در صحنه جرم نیز می‌باشد. اما نیازمندی‌های ما؛
1- یک ادیتور هگزا دسیمال مانند WinHex یا HexWorkshop
2- یک ذخیره کننده RAM مانند Dumpit Tool
3- یک سیستم قربانی!
در ابتدا بهتر است نقش قربانی را بازی کنیم، پس یک مرورگر دلخواه را باز کرده و به یک یا چند حساب کاربری خود (به عنوان مثال به اکانت وردپرس و جی-میل) وارد می‌شویم. پس از وارد کردن نام کاربری و کلمه عبور، به درخواست مرورگر مبنی بر ذخیره کلمه عبور پاسخ منفی می‌دهیم.
پس از لود شدن حساب کاربری مذکور، به بخش Sign out رفته و از حساب کاربری خود خارج می‌شویم و سپس مرورگر را نیز می‌بندیم. حتماً از خود می‌پرسید؛ «پس تا کنون همیشه نقش قربانی را داشته‌ام؟!» پاسخ بسیار نزدیک به «بله» می‌باشد؛ اما به راستی چه خلأ امنیتی در پشت این عملکرد به ظاهر امن نهفته است؟
برای پاسخ بالا، از نقش قربانی خارج و در نقش یک هکر و یا یک پلیس بخش امنیت در صحنه جرم ظاهر می‌شویم. نرم‌افزار Dumpit را بر روی سیستم قربانی اجرا و در پاسخ به شروع ذخیره‌سازی حافظه موجود در RAM، Y را تایپ می‌کنیم. بلافاصله فایلی با پسوند raw در پوشه فایل dumpit.exe ایجاد می‌شود، صبر می‌کنیم تا پیام موفق بودن ذخیره‌سازی را در محیط کنسولی Dumpit دریافت کنیم. حجم فایل raw ساخته‌شده برابر با میزان حافظه RAM دستگاه (در اینجا حدوداً 3 گیگ) می‌باشد که حاوی مطالب بسیار ارزشمندی از لحظه روشن شدن سیستم تا کنون می‌باشد.

rc17-01

 

از نرم‌افزار Dumpit خارج شده و فایل raw ایجادشده را در ادیتور WinHex باز می‌کنیم. سطر و ستون‌های متعدد از اعداد هگزا دسیمال در نگاه اول گیج‌کننده به نظر می‌رسد. در بخش view یا با زدن F7 گزینه Text Display only را انتخاب می‌کنیم. سپس به بخش جستجوی WinHex (که با آیکون دوربین نمایش داده می‌شود) رفته و به جستجوی حوادث اتفاق افتاده در سیستم می‌گردیم، به عنوان مثال با جستجوی واژه pwd یا passwd و خواندن متن دنباله آن در RAM ذخیره‌شده می‌توانیم کلیه کلمات عبور واردشده را بازیابی کنیم. شکل زیر نام کاربری و کلمه عبور اکانت وردپرسی را که در ابتدا در نقش قربانی وارد کردیم را نشان می‌دهد. باید توجه داشت که بازیابی کلمه عبور و سایر مشخصات امنیتی در صورت عدم استفاده از پروتکل ssl (مانند اکانت وردپرس در شکل زیر) بدون نیاز یه رمزگشایی انجام خواهد شد، اما در صورت استفاده از پروتکل ssl باید به مراحل فوق، رمزگشایی را نیز اضافه کنیم، که کمی کار را طولانی تر یا پیچیده تر میکند (مانند اکانت جی-میل).

rc17-02

 

به همین صورت و با جستجوی کلمات کلیدی دیگر می‌توان از RAM دستگاه قربانی که دیگر فرار نبوده و در یک فایل raw ذخیره شده است، اطلاعات بسیار مهمی را برای کشف حقیقت استخراج و به دادگاه ارائه کرد. با توجه به مطالب گفته شده، به نظر شما بزرگ‌ترین اشتباه یک نیروی پلیس در صحنه جرمی که یک سیستم روشن نیز در آن حضور دارد چه می‌تواند باشد؟

15 دیدگاه در “RAM، شاهدی خاموش در صحنه جرم

  1. آقای دکتر صابری، بسیار ممنون و متشکرم از اینکه این همه اطلاعات و تجربیات مفید و شایسته توجه را به این صورت کاملاً ساده و رایگان در اختیار دوستان قرار می دهید. فکر کنم بزرگترین اشتباه یک پلیس درواقع خاموش کردن سیستم قربانی و ارسال سیستم به پایگاه پلیس به منظور کشف اطلاعات باشه که باعث از بین رفتم اطلاعات صحنه جرم باشه !!

    1. خواهش میکنم جناب آقای علوی عزیز، لطف دارید.
      دقیقا همین طور که فرمودید بزرگترین اشتباه پلیس همین میتونه باشه، که خیلی مواقع متاسفانه به دلیل عدم وجود نیروهای پلیس کامپیوتر فارنسیک این اتفاق در صحنه جرم روی میده.

  2. امروز که خیلی خوشم اومد. عالی بود . خیلی خوشخیال بودیم !!!!
    وای پسوردام. مامااااااااااااااااااااااااان

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *