Windows’da RAM İmajı için Kernel Mode RAM Sürücüsü
| Autor: | SÜZEN, Ahmet Ali, ısparta uygulamalı bilimler üniversitesi, TAŞDELEN, Kubilay, KÜÇÜKSİLLE, Ecir Uğur, SÜLEYMAN DEMİREL ÜNİVERSİTESİ |
|---|---|
| Jazyk: | angličtina |
| Rok vydání: | 2019 |
| Předmět: | |
| Zdroj: | Volume: 23, Issue: 2 498-504 |
| ISSN: | 1308-6529 |
| Popis: | In thefield of computer forensics live analysis through immediate intervention is animportant way of gathering electronic evidence. The way to obtain evidence fromvolatile data using live analysis is to take an image of the RAM (Random AccessMemory). The entire RAM has to be copied in order to import data from thisimage. However, since the user mode is the default mode in Windows operatingsystems only the running processes can be accessed. Therefore, RAM imaging software needs to workat Kernel Mode level. In this study, a RAM driver was developed using WDK(Window Driver Kit) to enable RAM imaging software to run in Kernel Mode. Thedeveloped driver works on Windows 8, 8.1 and 10 (32 bit and 64 bit) operatingsystems. Virtual addresses, physical addresses and table pages for RAM can beaccessed using the developed RAM driver. In this way, image acquisitionsoftware using this driver is able to carry out bit-to-bit copying of RAM. Inaddition, a program to import a RAM image in c ++ using this driver has alsobeen developed. When the image retrieval software is installed in RAM itoccupies a meager 156 KB of space. Compared to the existing image acquisitionsoftware, the developed RAM driver and software seem to use the least RAM. Inaddition, there are no examples of Kernel Mode RAM Drivers developed using WDKin the literature. Adlibilişim alanındaki elektronik delil etme sürecinde, ilk müdahale ile canlıanaliz önemli bir yer tutmaktadır. Canlı analiz ile uçucu verilerden delil eldeetme, RAM (Random Access Memory) ‘in imajı alınarak gerçekleştirilir. Alınanimajdan veri kazımak için RAM’ in tamamının kopyalanması gerekmektedir. Fakat Windowsişletim sisteminde default olarak User-Mode kullanıldığı için sadece çalışanprocess’lere erişilebilmektedir. Bunedenle RAM imajı yazılımlarının Kernel-Mode seviyesinde çalışması gerekmektedir.Bu çalışmada, RAM imajı yazılımlarının Kernel-Mode’da çalışabilmesi için WDK(Window Driver Kit) ile RAM sürücüsü geliştirilmiştir. Geliştirilen sürücü,Windows 8, 8.1 ve 10 (32 bit ve 64 bit) işletim sistemlerinde çalışmaktadır.Geliştirilen RAM sürücü aracılığıyla RAM’in sanal adreslerine, fizikseladreslerine ve tablo sayfalarına erişilebilmektedir. Böylece sürücüyü kullananimaj alma yazılımların, RAM’i bit-to-bit kopyalamasına imkân sağlanmaktadır.Ayrıca, bu sürücü kullanarak c++ dilinde bir ram imajı alma programıgeliştirilmiştir. İmaj alma yazılımıRAM’e yüklendiğinde 156 KB’lık yer kaplamaktadır. Geliştirilen RAM sürücüsü veyazılımının, imaj alma yazılımları arasında RAM’ı en az kullandığıgörülmektedir. Ayrıca literatürde WDK ile geliştirilen Kernel Mode RAM sürücüsühakkında çalışma bulunmamaktadır. |
| Databáze: | OpenAIRE |
| Externí odkaz: |
|