Bellek (Memory) Forensics: Volatility

kullanici1

Mart 18, 2026

Siber Güvenlik

Olay müdahalesinde en kritik sorulardan biri şudur: “Saldırgan şu anda sistemde ne yapıyor?” Disk üzerindeki artefaktlar önemli olsa da modern saldırıların büyük bölümü bellek içinde çalışır. Dosyasız (fileless) zararlılar, süreç enjeksiyonu, bellek içi shellcode, geçici kimlik bilgisi kalıntıları ve anlık ağ bağlantıları; çoğu zaman diske kalıcı iz bırakmadan gerçekleşebilir. Bu nedenle bellek adli analizi (memory forensics), yalnızca geçmişi okumak değil, olayın ‘canlı’ bileşenlerini yakalamak için de vazgeçilmez hâle gelmiştir. 

Volatility, bellek dökümleri üzerinde adli analiz yapmak için en bilinen açık kaynak çerçevelerden biridir. Windows, Linux ve macOS bellek görüntülerinden; süreç listeleri, modüller, ağ soketleri, registry artefaktları ve şüpheli bellek bölgeleri gibi birçok sinyali çıkarmaya yardımcı olur. Bu makale, Volatility’nin hangi probleme cevap verdiğini, tipik bir bellek forensics akışını ve kurumların bu kabiliyeti sürdürülebilir biçimde nasıl kurabileceğini savunma odaklı olarak ele alır.

Bellek Forensics Nedir?

Bellek forensics, bir sistemin RAM içeriğinden adli bulgu elde etme disiplinidir. RAM, çalışan süreçleri, açık dosya tanıtıcılarını, ağ bağlantılarını, şifreleme anahtarlarının izlerini, kimlik doğrulama oturumlarını ve işletim sistemi çekirdeğinin çalışma durumunu barındırabilir. Disk analizi “ne kurulmuş, ne kalmış?” sorularına yanıt verirken; bellek analizi “şu anda ne çalışıyor, nereye bağlı?” sorularını daha doğrudan yanıtlayabilir. 

Bellek analizi iki temel gerçeğe dayanır: (1) saldırgan davranışının önemli kısmı runtime’dadır, (2) bellek uçucudur; sistem yeniden başlatıldığında veya süreç kapandığında birçok iz kaybolur. Bu nedenle bellek dökümünün zamanında ve doğru yöntemle alınması, analiz kalitesini belirleyen en önemli faktörlerden biridir.

final_cyber_security_logo
fixed_no_shift

Volatility Nedir ve Nerede Konumlanır?

Volatility, bellek görüntülerini parse edip işletim sistemi yapılarından anlamlı çıktılar üreten bir adli analiz çerçevesidir. Analiz, çoğunlukla “plugin” mantığıyla ilerler: her plugin, bellekten belirli bir artefakt tipini çıkarır (ör. süreç ağacı, modül listesi, ağ bağlantıları, registry anahtarları). 

Volatility’nin güçlü yanı, ham RAM verisini işletim sistemi bağlamında yorumlayabilmesidir. Ham bellek dökümü tek başına rastgele byte’lardan oluşur; Volatility ise doğru profil/simge bilgisiyle bu byte’ları süreçlere, DLL’lere, soketlere ve kernel yapılarına bağlar. Bu nedenle doğru OS sürümü/çekirdek simgesi eşlemesi, özellikle Volatility 3 ekosisteminde kritik bir bileşendir.

Tipik Bir Bellek Analizi Akışı

Bir incident sırasında bellek analizi, rastgele çıktılar üretmekten çok, hipotez temelli bir akışla yürütüldüğünde değer üretir. Kurumlarda pratikte şu sıralama sık kullanılır: 

1) Görüntü alma ve zincirleme delil (chain of custody): 
Bellek dökümü hangi sistemden, hangi tarihte, hangi yöntemle alındı? Hash değeri nedir? Bu bilgiler, hem adli geçerlilik hem de sonradan doğrulama için kaydedilir. 

2) Temel envanter: süreçler, kullanıcılar, uptime: 
Sistemde hangi süreçler çalışıyor, süreç ilişkileri nasıl, sistem ne zamandır açık? Bu bilgiler, saldırının zaman çizelgesini kurmaya yardımcı olur.

3) Ağ görünürlüğü: bağlantılar ve dinleyen portlar: 
Şüpheli dış bağlantılar, beklenmeyen dinleyici servisler ve kısa ömürlü soketler, komuta-kontrol (C2) veya veri sızdırma ihtimalini işaret edebilir. 

4) Modül ve bellek bölgeleri: enjeksiyon/karartma sinyalleri: 
Şüpheli DLL yüklemeleri, beklenmeyen bellek izinleri veya süreç içi anormallikler; süreç enjeksiyonu ve fileless davranışlara işaret edebilir. Burada amaç, ‘kesin hüküm’ değil, derin inceleme adaylarını daraltmaktır. 

5) Kimlik artefaktları ve güvenlik bağlamı: 
Windows tarafında oturumlar, token’lar, yetki bağlamları; Linux tarafında oturum süreçleri, env izleri gibi sinyaller; saldırganın ayrıcalık seviyesini anlamada yardımcı olur. Bu aşama, kurum politikaları ve yasal çerçeve ile uyumlu yürütülmelidir. 

6) Çıktıların korelasyonu: 
Bellek bulguları tek başına değerlidir; ancak EDR logları, SIEM kayıtları, proxy/DNS logları ve disk artefaktlarıyla birleştiğinde daha güçlü kanıt üretir. Örneğin bellekten görülen bir bağlantının, ağ loglarında nasıl göründüğü veya bir sürecin EDR’da hangi parent chain ile başladığı doğrulanır.

Volatility ile Neler Çıkarılabilir?

Volatility, doğru bağlam ve doğru veriyle kullanıldığında farklı soru tiplerine yanıt verebilir: 

  • Hangisüreçlerçalışıyordu ve aralarındaki ilişki neydi? 
  • Hangi modüller/DLL’ler yüklenmişti, şüpheli yükleme desenleri var mıydı?
  • Sistem hangi ağ uçlarıyla iletişim kuruyordu? 
  • Hangi kullanıcı/oturum bağlamları mevcuttu? 
  • Registry ve yapılandırma artefaktları üzerinden kalıcılık veya politika değişikliği sinyali var mıydı?
  • Şüpheli bellek bölgeleri (örn. ‘yürütülebilir ama dosyayla eşleşmeyen’) var mıydı? 

Bu soruların her biri, olay müdahalesinde farklı kararları destekler. Örneğin C2 bağlantısı netleşirse izolasyon; ayrıcalık seviyesi yükselmişse hesap rotasyonu; kalıcılık sinyali varsa yeniden imajlama gibi aksiyonlar daha erken planlanabilir.

Sınırlamalar ve Dikkat Edilmesi Gerekenler

Bellek forensics güçlü olsa da sınırsız değildir. En yaygın sınırlamalar şunlardır:

  • Zamanlama:Bellek uçucudur; geç kalındığında kritik artefaktlar kaybolabilir. 
  • Doğru görüntü alma: Hatalı veya eksik dump, analiz kalitesini düşürür. 
  • Şifreleme ve güvenli kanal: Bazı zararlılar bellek içi veriyi şifreli tutabilir; her şey açık metin bulunmaz.
  • Anti-forensics/anti-analysis: Bazı tehditler bellek analizini zorlaştıran teknikler kullanabilir; bu nedenle çok kaynaklı doğrulama gerekir. 
  • Yasal/etik sınırlar: Bellekte kişisel veriler bulunabilir; erişim ve saklama süreçleri kurum politikasına ve mevzuata uygun olmalıdır. 

Bu sınırlamalar, Volatility’nin değerini azaltmaz; sadece çıktıları yorumlarken ihtiyat ve metodoloji gerektirir.

Etkili Bir Kurumsal Kabiliyet Nasıl Kurulur?

Volatility’yi “araç” olarak kurmak kolaydır; asıl iş, bellek forensics’i kurumun olay müdahale programına entegre etmektir: 

  • Standartplaybook: Hangi olay türlerinde bellek alınır? Kim alır? Hangi doğrulamalar yapılır?
  • Toplama altyapısı: Kritik sistemler için hızlı izolasyon ve bellek toplama prosedürleri. 
  • Merkezî saklama: Hash’lenmiş, etiketlenmiş, erişimi sınırlı delil kasası.
  • Analiz şablonları: İlk 30 dakikada bakılacak çıktılar, şüpheli bulguların etiketlenmesi ve raporlama formatı. 
  • Korelasyon: EDR/SIEM entegrasyonu ve olay zaman çizelgesi üretimi. 
  • Eğitim ve tatbikat: Ekiplerin aynı dili konuşması için düzenli tabletop ve teknik tatbikat. 

Bu adımlar, bellek forensics’i “uzman işi” olmaktan çıkarıp ölçülebilir ve tekrarlanabilir bir kurum pratiğine dönüştürür.

Sonuç

Bellek forensics, modern saldırıların bellek içi doğası nedeniyle olay müdahalesinde kritik bir avantaj sağlar. Volatility, bu alanda en yaygın kullanılan çerçevelerden biri olarak, bellek dökümlerinden süreç, ağ, modül ve yapılandırma sinyallerini çıkarıp olayın görünürlüğünü artırır. 

En iyi sonuç; hızlı ve doğru bellek toplama, metodik analiz akışı ve EDR/SIEM korelasyonuyla elde edilir. Kurumlar bu kabiliyeti programlaştırdığında, fileless saldırılar ve anlık C2 davranışları gibi disk üzerinde zayıf iz bırakan tehditlere karşı daha dayanıklı hâle gelir.

Tags :
Malware Analizi,Memory Forensics,Volatility
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.