Ok, kali ni den nak kongsi teknik forensic untuk dapatkan password dan windows password hash dari physical memory.
Macam yang kita ketahui, benda-benda ni disimpan dalam memory pc kita. Teknik yang sama digunakan oleh ahli forensics untuk menganalisa sekiranya ado malware yang reside dalam memory.
Ok, tanpa membuang maso. Mulo-mulo untuk dump memory ni, kito gunakan satu tools mdd
command yang kito gunakan adolah
Untuk tujuan memory analysis kito akan gunokan tools volatility
Gunokan command berikut untuk memaparkan senarai proses yang running.
Gunokan command berikut untuk melihat connections
Gunokan command berikut untuk mendapatkan maklumat am tentang image
Gunokan command berikut untuk string dan offset. Untuk tujuan ni, kono download utllity strings.exe dari sysinternals
Hasil dari langkah kek eteh tu, kito leh gunakan options string dalam volatility untuk carik string yang spesisifik
Ok.. kito nengok macam mano nak dapekkan password hash bagi windows logon Kito kono dapekkan hiveoffset dari memory image kito. Untuk ni kono ado module yang berkaitan dengan registry. Leh download kek sini :
http://kurtz.cs.wesleyan.edu/%7Ebdolangavitt/memory/volreg-0.2.zip
Pastu gunokan command seperti kek bawah ni
Gunakan command kek bawah ni. Amik nilai offset yang pertama pado step sebelumnya.
Gunakan nilai hex. Amik nilai offset bagi SAM dan system untuk langkah berikutnya
Gunakan command kek bawah ni untuk dapatkan password hash. (Gunakan nilai offset
SAM dan system)
Sotolah kito dapek hash file tersobut, kito bulihlah crack. Ado beberapo tools yang bulih digunakan untuk tujuan ni : SamInside, Ophcrack. Untuk tutorial ni den gunokan SamInside.
Sekian dulu untuk kali ni. Hehehe. :)
Macam yang kita ketahui, benda-benda ni disimpan dalam memory pc kita. Teknik yang sama digunakan oleh ahli forensics untuk menganalisa sekiranya ado malware yang reside dalam memory.
Ok, tanpa membuang maso. Mulo-mulo untuk dump memory ni, kito gunakan satu tools mdd
command yang kito gunakan adolah
- mdd_1.3.exe -o [nama_fail]
Untuk tujuan memory analysis kito akan gunokan tools volatility
Gunokan command berikut untuk memaparkan senarai proses yang running.
- python volatility pslist -f [nama_image]
Gunokan command berikut untuk melihat connections
- python volatility connscan -f [nama_image]
Gunokan command berikut untuk mendapatkan maklumat am tentang image
- python volatility ident -f [nama_image]
Gunokan command berikut untuk string dan offset. Untuk tujuan ni, kono download utllity strings.exe dari sysinternals
- strings.exe -a -o -n 5 [nama_image] > [nama_fail]
Hasil dari langkah kek eteh tu, kito leh gunakan options string dalam volatility untuk carik string yang spesisifik
Ok.. kito nengok macam mano nak dapekkan password hash bagi windows logon Kito kono dapekkan hiveoffset dari memory image kito. Untuk ni kono ado module yang berkaitan dengan registry. Leh download kek sini :
http://kurtz.cs.wesleyan.edu/%7Ebdolangavitt/memory/volreg-0.2.zip
Pastu gunokan command seperti kek bawah ni
- python volatility hivescan -f [nama_image]
Gunakan command kek bawah ni. Amik nilai offset yang pertama pado step sebelumnya.
Gunakan nilai hex. Amik nilai offset bagi SAM dan system untuk langkah berikutnya
- python volatility hivelist -f [nama_image] -o [nilai_offset]
Gunakan command kek bawah ni untuk dapatkan password hash. (Gunakan nilai offset
SAM dan system)
- python volatility hashdump -f [nama_image] -y 0xe1037b60 -s 0xe1c64b60
Sotolah kito dapek hash file tersobut, kito bulihlah crack. Ado beberapo tools yang bulih digunakan untuk tujuan ni : SamInside, Ophcrack. Untuk tutorial ni den gunokan SamInside.
Sekian dulu untuk kali ni. Hehehe. :)
0 comments: