RAM imaj alma süreci tamamlandıktan sonra imaj dosyasının analiz edilmesi gerekmektedir. Analiz sonucunda siber vakanın aydınlatılması sağlanır. [16] İmaj incelemede doğru ve kesin sonuçlara ulaşmak adına imaj dosyasını farklı araçlar ile incelenmesi gerekebilir çünkü bazı durumlarda bazı verilere bir aracın ulaşamadığını farklı bir araç kullanarak ulaşabiliriz. [17] Ram imajını analiz ederken kullanabileceğimiz araçlar; “Volatility, Belkasoft Evidence Center, X-Ways Capture, Interner Evidence Finder” araçları kullanılarak RAM imajı analiz edilebilir. Bu araçlar ile analiz edildiği zaman imaj dosyasının metadata bilgilerini de elde edebilmekteyiz. RAM analizinde zararlı bir yazılımın şüphelenmesi durumu varsa analiz aşamasını şu şekilde sağlayabiliriz;
- Tüm prosesler listelenir.
- Şüpheli prosesler tanımlanır
- Şüpheli proseslerin DLL ve handles listelenir
- Network iletişimleri incelenir
- Şüpheli prosesler ve drives dumpı alınır.
- Alınan dump incelenir.
Bu işlemler gerçekleştirilerek zararlı yazılım tespit edilebilir. [18] Siber savunma ekipleri hem iç hem de dış taraftan gerçekleşen siber saldırılar ile karşılaşmaktadır. Bu karşılaşılan saldırıları etkili ve verimli bir şekilde tespit etme ve kontrol altına alabilmek için uç noktaların analizinde elde edilebilir. Bellek analizi sayesinde ortaya çıkarılan ayrıntılar kötü niyetli etkinliği gösteren önemli anormallikleri tespit etmemize olanak tanır.[19] RAM imajı analiz edilirken bakılması gereken noktaların vakanın kapsamına göre değişiklik gösterebilir örneğin amaç cihazın en son iletişim kurduğu ip adresleri tespit etmek ise ağ bağlantılarına bakılır. Ve yahut sisteme bir zararlı yazılım varlığından şüphe duyuluyorsa “kötü amaçlı yazılım gizlenebilir ama çalışması gerekir” prensibinden dolayı kötü amaçlı yazılım kullanıcının göremeyeceği yerlere saklanacak ama cihazda çalışan bir proses olacaktır. RAM analizi, zararlı program etkinliklerini aramak için en iyi yerdir. [12] Buna dayanarak ram imajı üzerinde proseslere yakından bakmak önemlidir. Burada proses listesine bakıp ismini daha önce görmediğimiz prosesleri Google da arattığımızda bir sonuç çıkıyor mu ve amacının ne olduğunu bilinmesi gerekmektedir. Ardından proses ağacına bakarak parent proses olarak adlandırdığımız proseslerin neler olduğunu bulabiliriz. Bu kontrolleri sağladıktan sonra ise anomali bir durum ile karşılaşırsak analiz kısmında derinleşmeliyiz. Analiz kısmında bir diğer yöntem ise alınan ram imajı anti virüs araçları ile taranmasının sağlanmasıdır.[20] Buradaki amaç çalışan proseslerin anti virüs araçlarının taramasında geçmesini sağlar. Bunu open source araç olan clamscan aracı ile gerçekleştirebiliriz.
Resim 6.1. RAM Analiz Akış Diyagramı
ClamScan aracı, dosyaları veya dizinleri virüslere karşı tarama için libclamav’ı kullanan bir komut satırı aracıdır. [21] Bu araç açık kaynaklı (opensource) olarak ücretsiz bir şekilde temin edilebilir. Kötü amaçlı yazılımlar genellikle işlem belleğinde bulunur ve standart dosya tabanlı tespitten kaçar. Bu dosya taratılarak, gizli tehditlere ışık tutmaya ve normalde fark edilmeyebilecek kötü amaçlı yazılımları ortaya çıkarılması sağlanabilir. ClamScan anti virüs aracına benzer farklı araçlarda kullanılabilir fakat bu proje kapsamında ücretsiz ve örnek uygulanmasının kolay olmasından dolayı clamscan aracı seçilmiştir. Alınan adli kopya yapılan işlemleri içeren dizini herhangi bir kötü amaçlı yazılım belirtisine karşı yinelemeli olarak tarar ve ardından tespit edilen kötü amaçlı yazılım imzaları için uyarı vererek tam dosyayı ve konumu belirtir.
Resim 6.1.1 RAM imajının ClamScan ile taratılması
ClamScan ile RAM imajında zararlı yazılım varsa tespit edilebilir.
- Redline İle Ram İmajının Analizi
Redline, Windows , Linux, MacOS gibi işletim sistemlerine sahip sistemlerde ram imajının oluşturulmasını ve analiz edilmesine imkan sağlayan ücretsiz bir araçtır.[22] Redline kullanılarak çeşitli dosya yapıları da dahil olmak üzere potansiyel olarak tehlikede olan sistemde RAM imajını analiz edebiliriz. Bu araç grafik ara yüzü sunmaktadır. Redline sayesinde; Registry kayıtlarına, çalışan proseslere, tarayıcı geçmişlerini gibi değerli bilgileri tespit edebilir [23]. Bu sayede olay müdahale kısmında ana sorunu bulabiliriz. Uç nokta verilerini toplamak, analiz etmek ve filtrelemek, IOC analizi gerçekleştirmek ve inceleme yapmak için Redline’ı kullanabiliriz. Redline kurulumu basittir. Redline resmi adresi olan https://fireeye.market/apps/211364 adresinden ücretsiz bir şekilde temin edilebilir. Redline içerisine RAM imajını dahil edebilip inceleyeceğimiz gibi script dosyası oluşturarak hedef sistemden RAM imajını alma imkanı sağlar. Dezavantaj olarak biraz yavaş bir araçtır. Redline toplama özelliğini kullanarak RAM imajı alınabilir ve bu dosya analiz edilebilir.
Redline ile RAM analizi sağlamak için ilk olarak imaj dosyasını belirlenir.
Resim 6.2.1 RAM imajının seçilme işlemi
RAM imajı analiz edilecek seçeneği seçildikten sonra RAM dosyasının konumu belirlenir.
Resim 6.2.2 RAM imaj dosyaının konum belirlenmesi
RAM imaj dosyası belirlendikten sonra “script” seçeneği ile dosya üzerindeki opsiyonlar özelleştirilebilir.
Resim 6.2.3 RAM imaj dosyasının opsiyonlarının belirlenmesi
Resim 6.2.4 RAM imaj dosyasının opsiyonlarının görüntülenmesi
Opsiyonlar seçildikten sonra imaj dosyası üzerinde Redline aracının ayrıştırmasını beklenmektedir.
Resim 6.2.5 RAM imaj dosyasının ayrıştırılması
Resim 6.2.6 RAM imaj dosyasının ayrıştırılmasının tamamlanması
Ayrıştırma işlemi tamamlandıktan sonra sol kısımda “analysis data” seçeneği çıkmaktadır. Buradaki seçenekler kullanılarak RAM analizi sağlanabilmektedir.
- MemProcFS İle Ram Analizi
MemProcFS; RAM imajını alıp dosya sistemi olarak görüntüleme imkanı sağlamaktadır. Memory Process File System (Hafıza Proses Dosya Sistemi) kısaltmaları ile oluşturulmuş bir isme sahiptir. Karmaşık komut satırlarını kullanmadan dosya sistemini kullanarak ram adli analizi sağlayabilme imkanı sağlar [24]. Dosya sistemi sayesinde kolay ve hızlı analiz sağlayabiliriz. Ram analizinde elde edilebilecek birçok bilgiyi elde edebilme imkanı sağlamaktadır. Ayrıca uzak bağlantı sağlayarak canlı sistemler üzerinde RAM inceleme imkanı sağlayabilmektedir. Linux ram imajlarını şu an güncel versiyonu analiz edilmesini desteklememektedir.
Kurulumu ve kullanımı basittir. Kurmak için ilk olarak resmi github sitesinden aracı temin edilebilir. https://github.com/ufrisk/MemProcFS/releases/tag/v5.9 güncel versiyonu url adresinden indirilir. İndirildikten sonra arşiv dosyasını açtıktan sonra kullanılmaya hazırdır. Bu analiz aracı dosya sistemi üzerinden analiz imkanı sağladığından dolayı dosya sistem kütüphanesine ihtiyaç duymaktadır bu ihtiyacı karşılamak adına “Donkay” isimli aracı kullanarak temin edilebilir. Analizin gerçekleşeceği sisteme Donkay aracını resmi github dosyasından indirip kurulumu sağlanabilir kurulum sağlandıktan sonra MemProcFS aracı kullanılmaya hazırdır.
MemProcFS aracına herhangi bir komut vermeden araç çalıştırıldığında kendisi hakkında bilgiler dönmektedir. Burada aracının kullanılması için uygun parametrelerin örneklerini verdiğini ve parametrelerin açıklamalarını sağlamaktadır.
Resim 6.3.1. MemProcFS.exe çalıştırılması
Çalışma kapsamında analiz örneklerini sağlanması için alınan memdump-001.mem isimli ram imajını analiz etmek için;
MemProcFS.exe -device ../memdump-001.mem -forensic 1
Komutunu kullanıyoruz. Bu komut bize ram imajını dosya sistemi üzerinde analiz edebilmene imkan sağlayacaktır.
Resim 6.3.2. MemProcFS.exe Ram imaj analiz başlatılması
Bu komut çalıştırıldıktan sonra dosya yöneticisinde M: dizini oluşturmaktadır.
Resim 6.3.3 M: dizini dosya sisteminden görüntülenmesi
Burada M: locations bulunmaktadır. Dosya sistemine baktığımız zaman içerisine ise ram analizinde işimize yarayacak tüm bilgileri görebilmekteyiz. Bu bilgileri kullanarak ram imajını analizini sağlayabiliriz.
Resim 6.3.4 MemProcFS ile ram analizi
Proses isimleri, PID değerleri, registry kayıtları, event logları, poceslerin dump dosyalarını gibi bilgilere erişebiliriz. Ayrıca ağ, kullanıcılar, işletim sistemi bilgileri ve diğerleri gibi “sys” dizininde sistem hakkında birçok bilgi bulunabilir. Forensics klasörü altında NTFS, ağ, web, süreçler ve diğerleri gibi birçok yapı için oluşturulmuş zaman çizelgelerini bulunmaktadır. Ayrıca ram imajını bir yara kuralı ile taramak için “-forensic-yara-rules” parametresini dahil edebiliriz. Yani yara kuralları ile taratılmak istenen ram imajının komutu;
MemProcFS.exe -device memdump.mem -forensic 1 -forensic-yara-rules “.\rule.yar”
Şeklinde olabilir.
- Volatility İle Ram Analizi
Volatility, RAM imajlarını analiz etmek için siber güvenlik camiası tarafından en çok kullanılan açık kaynaklı araçlardan biridir. [25] Windows, Linux, MacOS işletim sistemleri üzerinde çalışabilmek imkanı sağlamaktadır. Ram imaj üzerinde çok fazla bilgi tespit etmesini sağlayan farklı eklentilere sahiptir. [12] Açık kaynak yazılım olması dolayısıyla eklentiler yazılabilme imkanı sağlamaktadır. Volatility grafiksel bir ara yüze sahip değildir yani CLI tool olarak kullanılmaktadır. Resmi github adresi olan https://github.com/volatilityfoundation/volatility adresinden kolay bir şekilde temin edilebilir. Volatility aracı volatility3 ve Volatility2.6 olmak üzere iki sürümü aktif olarak kullanılmaktadır. Volatility2.6 aracında genel çalışma yapısı olarak ilk olarak alınan imajın hangi sisteme ait olduğu belirlenir profil belirlendikten sonra analiz edilmesi istenen durumlar sorgulanır. Bu durum Windows sistemler için biraz daha kolay analiz sağlar çünkü Linux sistemlerde imaj dosyasının profilini bulmak daha zordur. Eğer ki imaj dosyasının hakkında bilgi alamazsak kendimiz profili oluşturmamız gerekmektedir. Fakat volatility3 sürümünde ise imaj profili tanımlanmadan analiz edilmesine olanak sağlamaktadır. Bu sürüm geliştirilmeye devam edildiğinden eklenti yapısı olarak Volatility2.6 sürümü kadar geniş bir yelpazeye sahip değildir. Bu çalışma kapsamında Volatility3 aracı kullanılarak ram imajı analiz edilecektir.
Volatility aracının Linux işletim sisteminde kullanabilmek için resmi github adresinden aracı get komutu ile indirilmelidir.
Resim 6.4.1. Volatility Kurulumu
Volatility aracı analiz edeceğimiz sisteme dahil ettikten sonra python yardımı ile kullanmaya hazırdır.
Resim 6.4.2. Volatility Help Parametresinin kullanımı
Volatility aracında kullanılan parametreler her işletim sistemine özgü bir şekilde kullanılmaktadır. [26] Windows işletim sistemine ait bir ram imajı analiz edilirken sık kullanılan parametreler Tablo-1’de aktarılmıştır.
windows.info | İşletim sistemi hakkında bilgi verir |
windows.pslist | Prosesleri listeler |
windows.pstree | Proseslerin ağaç yapısında gösterilmesini sağlar |
windows.psscan | Etkin olmayan prosesleri veya bir rootkit tarafından gizlenen prosesleri tespit etmek için kullanılır. |
windows.dumpfiles ‑‑pid <PID> | Prosesin dump almasını sağlar. |
windows.memmap ‑‑dump ‑‑pid <PID> | Bir prosesteki hundel tanıtmak için görüntülenir. |
windows.dlllist ‑‑pid <PID> | Prosesin kullanmış olduğu dll dosyalarını listeler |
windows.cmdline | Command_History yapısını tarayarak konsol üzerinde gerçekleştirilen aktiviteler hakkında bilgi verebilmektedir. |
windows.netscan | Bellekteki ağ nesnelerini tarar. |
windows.netstat | Bellekteki ağ yapıtlarını taramak için kullanılır. |
windows.registry.hivescan | Hive değerlerini tarar |
windows.registry.hivelist | Registry hive değerlerini görmek için kullanılır |
windows.registry.printkeywindows.registry.printkey ‑‑key “<key_path>” | registry hive da bulunan subkey bilgilerini gösterir |
windows.filescan | Bellek imajında bulunan dosya nesnelerini tarar. |
windows.dumpfileswindows.dumpfiles ‑‑virtaddr <offset>windows.dumpfiles ‑‑physaddr <offset> | Bellek imajında bulunan dosyaların dump alınmasında kullanılır. |
windows.malfind | Potansiyel olarak enjekte edilmiş kod içeren işlem belleği aralıklarını listeler. |
windows.vadyarascan ‑‑yara-rules <string>windows.vadyarascan ‑‑yara-file “/path/to/file.yar”yarascan.yarascan ‑‑yara-file “/path/to/file.yar” | Yara kurallarını taramak için kullanılabilir |
Tablo-1 Sık Kullanılan Volatility parametreleri
Resim 6.4.3. Ram imajı hakkında bilgi alınması
Resim 6.4.4. Proseslerin listelenmesi
Resim 6.4.5. windows psscan komutunun çalıştırılması
Resim 6.4.6. windows.pstree komutunun çalıştırılması
Resim 6.4.7. windows.netscan komutunun çalıştırılması
Resim 6.4.8. windows.registry.hivelist komutunun çalıştırılması
Resim 6.4.8. windows.malfind komutunun çalıştırılması
Çalışma kapsamı sayesinde kurum veya kuruluşların maruz kaldığı bir siber saldırı veya bir bilişim sistemini vasıta olarak kullanan bir suçlunun tespit edilmesinde Ram adli bilişim önemi ve kullanımı aktarılmıştır. RAM bir disk yani veri depolama işlevi gördüğünden, sabit diskin yanı sıra belleğin de bakımı ve incelenmesi önemlidir. Ram adli bilişimi sayesinde, uçucu verilerin analizini sağlayabilmekteyiz. Gerçekleşen bir siber saldırıda veya bilgisayar kullanılarak gerçekleştirilen bir saldırıda uzman ekipler tehdit göstergelerini belirlemek ve kötü amaçlı etkinlikleri, davranışları, ağ trafiklerini tespit edebilme imkanı sağlamaktadır. Bellekte muhafaza edilen veriler geçici olmaktadır bundan dolayı sistemin kapatılmasıyla veriler kaybolmaktadır bundan dolayı şüpheli sistem kapatılmadan Ram adli kopyası alınmalıdır. Alınan ram kopya uygun araç setleri ile analiz edilmesi gerekmektedir.
Öneriler, bir sistemde şüpheli bir aktivite tespit edilmişse kapatmadan önce Ram adli kopyası alınmalıdır ya da ağ izolasyonuna alınmalıdır bu yöntem sayesinde olayı güvenli bir şekilde kontrol altına alacak ve aynı zamanda değerli bilgileri koruyacak geçici veriler kaybolmayacaktır. Sistemin ağ izolasyonuna alınmasındaki neden bir siber saldırganın hala sistem içinde olması muhtemel durumlarda olabilir çünkü ram imajını alana kadar gerçekleşecek süre içerisinde sistemin geri kalanını bozabilir bundan dolayı kompleks bir saldırı ile karşılaşıldığında daha hızlı ve güvenli aksiyon olan ağ izolasyonuna alınmalıdır. Siber olay müdahale ekiplerinin her sistem için uygun adli kopya alacak araçların hazırda bulunması gerekmektedir. Belli zaman aralıklarında siber tatbikatlar sağlayarak bir durum vakası varmışçasına çalışmalar sağlanmalıdır. Siber olay müdahale ekiplerinin laboratuvar ortamlarında her sistem için adli kopyalamanın incelenmesini doğru sağlayacak analiz araçlarının bulundurması önemlidir. Çünkü alınan bir adli kopya tek başına yeterli değildir adli kopya içerisinde tehdit göstergelerinin tespiti de önemli bir meseledir. Tespit edilen tehdit göstergelerinin, raporlamanın anlaşılır olması önerilir.
Ram analizi sırasında bir zararlı yazılımdan şüphe duyuluyorsa unutulmamalıdır ki bu dosya çok iyi bir şekilde saklanabilir fakat çalışması gerekir bundan dolayı çalışan herhangi bir proses ram analizi ile tespit edilebilmektedir. Analiz sırasında proseslere yakından bakılır bilinmedik bir proses ile karşılaşılırsa analizde derinleşme sağlanmalıdır. Bu derinleşmelerden kasıt Google gibi arama motorları kullanılarak prosesin çalışma amacı ve detayları araştırılır. Araştırılan proses amacına uygun aktivitesi yoksa ya da prosesin ismi ile ilgili herhangi bir bilgi bulunmuyorsa şüphe durumu artırılmalıdır. Proseslerde bir diğer dikkat edilmesi gereken husus proses ağacıdır yani bir prosesi başlatan proses kimdir sorusuna cevap bulunulmalıdır bu aynı şekilde bir anomalinin tespitinde kullanılabilir. Bir başka tespit yöntemi ise prosesin çalıştığı dosya yoludur farklı veya olmaması gereken bir yolda bir proses başlamışsa yine olaya şüpheyle yaklaşılmalıdır. Ağ bağlantıları kontrol edilmelidir sistem üzerinde bir revshell veya bind shell aktivitesi kontrol edilmelidir, hangi portlar açık olduğu, iletişime geçen ip adreslerinin neler olduğu tespiti sağlanmalıdır bu ip adreslerinin kime ait olduğu siber istihbarat platformlarından kontrol edilmelidir. Bu analiz detaylarını gerçekleştirildikten sonra şüpheli aktivite kararlaştırılabilir. Çalışma kapsamında karşılaşılan zorluklar, Her işletim sistemi değişkenine, yüklü cihazlara ve ayarlara bağlı olarak farklı performans gösterilmesi ve farklı araç setlerinin kullanılması ve analiz sırasında anormalliklerden filtrelemek, altta yatan yapılara ve beklenen proses davranışına ilişkin kapsamlı bir bilgi gerektirmesi gibi durumlar ram adli bilişimde zorlaycı süreçlerdir
Bu çalışma sağlanılarak; RAM adli kopyalamasından ne tür verinin çıkarılabileceğini ve bunun nasıl elde edileceğini belgeleme konusunda büyük ilerleme kaydedildi. Bunun amacı, gelişmiş uçucu tehditlerin tespitinde yardımcı olabilecek analitik bir yaklaşımı göstermektir.
KAYNAKLAR
[1] Michael Hale Ligh, Andrew Case, Jamie Levy, and AAron Walters, “The Art of Memory Forensics – Detecting Malware and Threats in Windows, Linux, and Mac Memory (2014).” Accessed: Jun. 08, 2024. [Online]. Available: https://repo.zenk-security.com/Forensic/The%20Art%20of%20Memory%20Forensics%20-%20Detecting%20Malware%20and%20Threats%20in%20Windows,%20Linux,%20and%20Mac%20Memory%20(2014).pdf
[2] E. D. Mougoue, “Forensic analysis of linux physical memory: Extraction and resumption of running processes,” 2012. [Online]. Available: https://commons.lib.jmu.edu/master201019/275
[3] DUNCAN G. ELLIOTT, MICHAEL STUMM, W. MARTIN SNELGROVE, CHRISTIAN COJOCARU, and ROBERT MCKENZIE, “Computational_RAM_implementing_processors_in_memory,” 1999.
[4] M. Sancho, F. Pérez-Sánchez, L. Tablado, J. J. De Monserrat, and C. Soler, “Computer assisted morphometric analysis of ram sperm heads: Evaluation of different fixative techniques,” Theriogenology, vol. 50, no. 1, pp. 27–37, Jul. 1998, doi: 10.1016/S0093-691X(98)00110-1.
[5] C. Barrett, “Using a RAM Disk,” The Practical Handbook of Computerization for Distribution Managers, pp. 245–252, 1987, doi: 10.1007/978-1-4684-7332-2_31.
[6] D. C. Prakoso, I. Riadi, and Y. Prayudi, “Detection of Metasploit Attacks Using RAM Forensic on Proprietary Operating Systems,” Kinetik: Game Technology, Information System, Computer Network, Computing, Electronics, and Control, pp. 155–160, May 2020, doi: 10.22219/kinetik.v5i2.1037.
[7] A. Case and G. G. Richard, “Memory forensics: The path forward,” Digit Investig, vol. 20, pp. 23–33, Mar. 2017, doi: 10.1016/j.diin.2016.12.004.
[8] G. Osborne, “Memory Forensics: Review of Acquisition and Analysis Techniques.”
[9] N. Ruff, “Windows memory forensics,” Journal in Computer Virology, vol. 4, no. 2, pp. 83–100, May 2008, doi: 10.1007/s11416-007-0070-0.
[10] A. D. Purnomo, C. Lim, and B. Noviansyah, “Threat Hunting Early Experiment through Event Correlation and Memory Forensic,” ACMIT.
[11] J. Stüttgen, S. Vömel, and M. Denzel, “Acquisition and analysis of compromised firmware using memory forensics,” Digit Investig, vol. 12, pp. S50–S60, Mar. 2015, doi: 10.1016/J.DIIN.2015.01.010.
[12] M. Singh Solanki, “Memory Forensics and Cyber Threat Analysis: A Review,” JETIR, 2019. [Online]. Available: www.jetir.org
[13] Y. Gao and T. Cao, “Memory forensics for QQ from a live system,” J Comput (Taipei), vol. 5, no. 4, pp. 541–548, Apr. 2010, doi: 10.4304/jcp.5.4.541-548.
[14] “Velocidex/WinPmem: The multi-platform memory acquisition tool.” Accessed: Apr. 15, 2024. [Online]. Available: https://github.com/Velocidex/WinPmem
[15] “microsoft/avml: AVML – Acquire Volatile Memory for Linux.” Accessed: Jun. 09, 2024. [Online]. Available: https://github.com/microsoft/avml
[16] Z. Zhang, Z. Liu, and J. Bai, “Network attack detection model based on Linux memory forensics,” in Proceedings – 2022 14th International Conference on Measuring Technology and Mechatronics Automation, ICMTMA 2022, Institute of Electrical and Electronics Engineers Inc., 2022, pp. 931–935. doi: 10.1109/ICMTMA54903.2022.00189.
[17] M. Z. Akmal Bin Shafiee, F. Hani Binti Mohd Ali, and N. H. Binti Nik Zulkipli, “Linux Forensic Analysis and Extraction Tool,” in 8th International Conference on Recent Advances and Innovations in Engineering: Empowering Computing, Analytics, and Engineering Through Digital Innovation, ICRAIE 2023, Institute of Electrical and Electronics Engineers Inc., 2023. doi: 10.1109/ICRAIE59459.2023.10468410.
[18] G. Priya and N. Sangeeta, “Hunting advanced volatile threats using memory forensics,” 2018. [Online]. Available: www.IJARIIT.com
[19] Gnite Technologies, “Memory Forensics Volatility Framework & Workbench,” 2020. [Online]. Available: www.hackingarticles.in
[20] I. Korkin and I. Nesterov, “APPLYING MEMORY FORENSICS TO ROOTKIT DETECTION.”
[21] “kylefarris/clamscan: A robust ClamAV virus scanning library supporting scanning files, directories, and streams with local sockets, local/remote TCP, and local clamscan/clamdscan binaries (with failover).” Accessed: Jun. 09, 2024. [Online]. Available: https://github.com/kylefarris/clamscan
[22] A. Ghafarian, S. Amin, and H. Seno, “Analysis of Privacy of Private Browsing Mode through Memory Forensics,” 2015.
[23] “REDLINE USER GUIDE RELEASE 2.0 Redline User Guide Release 2.0 Revision 1,” 2020, Accessed: May 21, 2024. [Online]. Available: www.fireeye.com
[24] “ufrisk/MemProcFS: MemProcFS.” Accessed: Jun. 01, 2024. [Online]. Available: https://github.com/ufrisk/MemProcFS
[25] E. Chan, W. Wan, A. Chaugule, and R. Campbell, “A Framework for Volatile Memory Forensics.”
[26] “volatilityfoundation/volatility: An advanced memory forensics framework.” Accessed: Jun. 09, 2024. [Online]. Available: https://github.com/volatilityfoundation/volatility