WhiteIntel

WhiteIntel, karanlık ağ destekli bir arama motorudur ve şirketin veya müşterilerinin hırsız kötü amaçlı yazılımlar tarafından kompromize edilip edilmediğini kontrol etmek için ücretsiz işlevsellikler sunar.

WhiteIntel'in başlıca amacı, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye yazılımı saldırılarıyla mücadele etmektir.

Websitesini ziyaret edebilir ve motorlarını ücretsiz deneyebilirsiniz:

Bellek Kalıntıları

Takas Dosyaları

/private/var/vm/swapfile0 gibi takas dosyaları, fiziksel bellek dolu olduğunda önbellek olarak hizmet verir. Fiziksel bellekte daha fazla yer olmadığında, veriler bir takas dosyasına aktarılır ve gerektiğinde fiziksel belleğe geri getirilir. swapfile0, swapfile1 gibi isimlerle birden fazla takas dosyası bulunabilir.

Uyku Görüntüsü

/private/var/vm/sleepimage konumundaki dosya, uykudan çıkma modunda kritiktir. OS X uyku modundayken bellek verileri bu dosyada depolanır. Bilgisayar uyandığında, sistem bellek verilerini bu dosyadan alır ve kullanıcıya kaldığı yerden devam etme imkanı sağlar.

Modern MacOS sistemlerinde, bu dosyanın genellikle güvenlik nedenleriyle şifrelendiğini ve kurtarmanın zor olduğunu belirtmek önemlidir.

• Uyku görüntüsü için şifrelemenin etkin olup olmadığını kontrol etmek için sysctl vm.swapusage komutu çalıştırılabilir. Bu, dosyanın şifrelenip şifrelenmediğini gösterecektir.

Bellek Basıncı Günlükleri

MacOS sistemlerindeki başka bir önemli bellek ile ilgili dosya, bellek basıncı günlüğüdür. Bu günlükler /var/log konumunda bulunur ve sistem bellek kullanımı ve basınç olayları hakkında detaylı bilgiler içerir. Bellek ile ilgili sorunları teşhis etmek veya sistem belleğin zaman içinde nasıl yönetildiğini anlamak için oldukça faydalı olabilirler.

osxpmem ile belleği dökme

Bir MacOS makinesinde belleği dökmek için osxpmem kullanabilirsiniz.

Not: Aşağıdaki talimatlar yalnızca Intel mimarisine sahip Mac'ler için çalışacaktır. Bu araç artık arşivlenmiştir ve son sürümü 2017'de yayınlanmıştır. Aşağıdaki talimatlarla indirilen ikili dosya, Apple Silicon'in 2017'de mevcut olmadığı için Intel çiplerini hedef almaktadır. arm64 mimarisi için ikili dosyayı derlemek mümkün olabilir ancak bunu kendiniz denemelisiniz.

#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

#Dump aff4 format
sudo osxpmem.app/osxpmem -o /tmp/dump_mem.aff4

Eğer bu hatayı bulursanız: osxpmem.app/MacPmem.kext yüklenemedi - (libkern/kext) kimlik doğrulama hatası (dosya sahipliği/izinleri); hatalar için sistem/kernel günlüklerini kontrol edin veya kextutil(8)'i deneyin Bunun düzeltilmesi için şunu yapabilirsiniz:

sudo cp -r osxpmem.app/MacPmem.kext "/tmp/"
sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

Diğer hatalar, sadece "Güvenlik ve Gizlilik --> Genel" bölümünde kext'in yüklenmesine izin verilerek düzeltilebilir, sadece izin verin.

Uygulamayı indirmek, kext'i yüklemek ve belleği dökmek için bu oneliner'ı da kullanabilirsiniz:

sudo su
cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip; unzip osxpmem-2.1.post4.zip; chown -R root:wheel osxpmem.app/MacPmem.kext; kextload osxpmem.app/MacPmem.kext; osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

WhiteIntel

WhiteIntel, şirketin veya müşterilerinin hırsız kötü amaçlı yazılımlar tarafından kompromize edilip edilmediğini kontrol etmek için ücretsiz işlevler sunan karanlık ağ destekli bir arama motorudur.

WhiteIntel'in asıl amacı, bilgi çalan kötü amaçlı yazılımlardan kaynaklanan hesap ele geçirmeleri ve fidye yazılımı saldırılarıyla mücadele etmektir.

Websitesini ziyaret edebilir ve motorlarını ücretsiz deneyebilirsiniz: