- Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Dergisi
- Vol: 23 Issue: 2
- Development of Kernel Mode RAM Driver for RAM Image on Windows
Development of Kernel Mode RAM Driver for RAM Image on Windows
Authors : Ahmet Ali SÜZEN, Kubilay TAŞDELEN, Ecir Uğur KÜÇÜKSİLLE
Pages : 498-504
Doi:10.19113/sdufenbed.529039
View : 16 | Download : 4
Publication Date : 2019-08-25
Article Type : Research
Abstract :Adli bilişim alanındaki elektronik delil etme sürecinde, ilk müdahale ile canlı analiz önemli bir yer tutmaktadır. Canlı analiz ile uçucu verilerden delil elde etme, RAM (Random Access Memory) ‘in imajı alınarak gerçekleştirilir. Alınan imajdan veri kazımak için RAM’ in tamamının kopyalanması gerekmektedir. Fakat Windows işletim sisteminde default olarak User-Mode kullanıldığı için sadece çalışan process’lere erişilebilmektedir. Bu nedenle RAM imajı yazılımlarının Kernel-Mode seviyesinde çalışması gerekmektedir. Bu çalışmada, RAM imajı yazılımlarının Kernel-Mode’da çalışabilmesi için WDK (Window Driver Kit) ile RAM sürücüsü geliştirilmiştir. Geliştirilen sürücü, Windows 8, 8.1 ve 10 (32 bit ve 64 bit) işletim sistemlerinde çalışmaktadır. Geliştirilen RAM sürücü aracılığıyla RAM’in sanal adreslerine, fiziksel adreslerine ve tablo sayfalarına erişilebilmektedir. Böylece sürücüyü kullanan imaj alma yazılımların, RAM’i bit-to-bit kopyalamasına imkân sağlanmaktadır. Ayrıca, bu sürücü kullanarak c++ dilinde bir ram imajı alma programı geliştirilmiştir. İmaj alma yazılımı RAM’e yüklendiğinde 156 KB’lık yer kaplamaktadır. Geliştirilen RAM sürücüsü ve yazılımının, imaj alma yazılımları arasında RAM’ı en az kullandığı görülmektedir. Ayrıca literatürde WDK ile geliştirilen Kernel Mode RAM sürücüsü hakkında çalışma bulunmamaktadır.Keywords : C++, Çekirdek mod sürücü, Hafıza adli bilişimi, RAM mimarisi