Ok, kali ni den nak kongsi teknik forensic untuk dapatkan password dan windows password hash dari physical memory.

Macam yang kita ketahui, benda-benda ni disimpan dalam memory pc kita. Teknik yang sama digunakan oleh ahli forensics untuk menganalisa sekiranya ado malware yang reside dalam memory.

Ok, tanpa membuang maso. Mulo-mulo untuk dump memory ni, kito gunakan satu tools mdd
command yang kito gunakan adolah



Untuk tujuan memory analysis kito akan gunokan tools volatility

Gunokan command berikut untuk memaparkan senarai proses yang running.



Gunokan command berikut untuk melihat connections



Gunokan command berikut untuk mendapatkan maklumat am tentang image



Gunokan command berikut untuk string dan offset. Untuk tujuan ni, kono download utllity strings.exe dari sysinternals



Hasil dari langkah kek eteh tu, kito leh gunakan options string dalam volatility untuk carik string yang spesisifik

Ok.. kito nengok macam mano nak dapekkan password hash bagi windows logon Kito kono dapekkan hiveoffset dari memory image kito. Untuk ni kono ado module yang berkaitan dengan registry. Leh download kek sini :

http://kurtz.cs.wesleyan.edu/%7Ebdolangavitt/memory/volreg-0.2.zip

Pastu gunokan command seperti kek bawah ni



Gunakan command kek bawah ni. Amik nilai offset yang pertama pado step sebelumnya.
Gunakan nilai hex. Amik nilai offset bagi SAM dan system untuk langkah berikutnya



Gunakan command kek bawah ni untuk dapatkan password hash. (Gunakan nilai offset
SAM dan system)



Sotolah kito dapek hash file tersobut, kito bulihlah crack. Ado beberapo tools yang bulih digunakan untuk tujuan ni : SamInside, Ophcrack. Untuk tutorial ni den gunokan SamInside.


Sekian dulu untuk kali ni. Hehehe. :)

0 comments: