Development of Kernel Mode RAM Driver for RAM Image on Windows

Authors : Ahmet Ali SÜZEN, Kubilay TAŞDELEN, Ecir Uğur KÜÇÜKSİLLE

Pages : 498-504

Doi:10.19113/sdufenbed.529039

View : 24 | Download : 24

Publication Date : 2019-08-25

Article Type : Research Paper

Abstract :Adli bilişim alanındaki elektronik delil etme sürecinde, ilk müdahale ile canlı analiz önemli bir yer tutmaktadır. Canlı analiz ile uçucu verilerden delil elde etme, RAM insert ignore into journalissuearticles values(Random Access Memory); ‘in imajı alınarak gerçekleştirilir. Alınan imajdan veri kazımak için RAM’ in tamamının kopyalanması gerekmektedir. Fakat Windows işletim sisteminde default olarak User-Mode kullanıldığı için sadece çalışan process’lere erişilebilmektedir.  Bu nedenle RAM imajı yazılımlarının Kernel-Mode seviyesinde çalışması gerekmektedir. Bu çalışmada, RAM imajı yazılımlarının Kernel-Mode’da çalışabilmesi için WDK insert ignore into journalissuearticles values(Window Driver Kit); ile RAM sürücüsü geliştirilmiştir. Geliştirilen sürücü, Windows 8, 8.1 ve 10 insert ignore into journalissuearticles values(32 bit ve 64 bit); işletim sistemlerinde çalışmaktadır. Geliştirilen RAM sürücü aracılığıyla RAM’in sanal adreslerine, fiziksel adreslerine ve tablo sayfalarına erişilebilmektedir. Böylece sürücüyü kullanan imaj alma yazılımların, RAM’i bit-to-bit kopyalamasına imkân sağlanmaktadır. Ayrıca, bu sürücü kullanarak c++ dilinde bir ram imajı alma programı geliştirilmiştir.  İmaj alma yazılımı RAM’e yüklendiğinde 156 KB’lık yer kaplamaktadır. Geliştirilen RAM sürücüsü ve yazılımının, imaj alma yazılımları arasında RAM’ı en az kullandığı görülmektedir. Ayrıca literatürde WDK ile geliştirilen Kernel Mode RAM sürücüsü hakkında çalışma bulunmamaktadır.
Keywords : C, Çekirdek mod sürücü, Hafıza adli bilişimi, RAM mimarisi