Mémoire 2/4

PrécédentMémoire 1/4 SuivantMémoire 3/4

Dernière mise à jour il y a 7 mois

Cet article vous a-t-il été utile ?

Mémoire 2/4

Catégorie: Forensic Difficulté: - Flag: CTFREI{F1l3s_Ar3_Lo@deD_iN_mEm0RY}

Challenge

Le fichier est trop large, il est disponible sur

Description

On va rechercher cette fois-ci un fichier. J'étais en train d'écrire dans un document Word.

Peux-tu me le récupérer ? Ce dernier contient le flag.

Il te faudra un outil adapté à l'analyse mémoire pour y arriver.

Note : Le fichier est le même pour les 4 étapes

sha1: c91d17b27d8bf5df0830bd6104801b065cca6ee9

Solution

On commence par scanner les fichiers avec le plugin windows.filescan.FileScan :

$ volatility3 -f memory.vmem windows.filescan.FileScan | grep -i ".doc"
0x9603532d0b90  \Users\Aramis\Documents 216
0x9603532d2c60  \Users\Aramis\Documents 216
0x960358086c10  \Users\Aramis\Documents\Portos.docm     216
0x9603580a4710  \Users\Aramis\Documents\Portos.docm     216
0x9603580a7460  \Users\Aramis\Documents\Portos.docm     216
0x960358343820  \Users\Aramis\Documents 216
0x960358346ed0  \Users\Aramis\Documents 216
0x960358359300  \Users\Aramis\Documents 216
0x960358363ee0  \Users\Public\Documents\desktop.ini     216

On détecte un fichier nommé Portos.docm. Il est détecté trois fois à trois adresses virtuelles différentes, on peut récupérer n'importe lequel avec le plugin windows.dumpfiles

$ volatility3 -f -o "./out/" memory.vmem windows.dumpfiles --virtaddr 0x960358086c10

Volatility 3 Framework 2.7.0
Progress:  100.00               PDB scanning finished
Cache   FileObject      FileName        Result

DataSectionObject       0x960358086c10  Portos.docm     Error dumping file
SharedCacheMap  0x960358086c10  Portos.docm     file.0x960358086c10.0x960353b8e010.SharedCacheMap.Portos.docm.vacb

De là, on récupère 2 fichiers :

<...>.Portos.docm.vacb
<...>.Portos.docm.dat

C'est le .dat qui nous intéresse puisqu'il s'agit du fichier en lui-même. Donc là, soit on l'ouvre avec Word (pas fou fou sauf si vous êtes dans une sandbox), soit on utilise un logiciel comme WinRAR (car oui, les fichiers Word sont des archives).

Partons sur la 2ᵈᵉ option, on trouve dansword/media l'image image1.jpeg

PrécédentMémoire 1/4 SuivantMémoire 3/4

Dernière mise à jour il y a 7 mois

Cet article vous a-t-il été utile ?

Catégorie: Forensic Difficulté: - Flag: CTFREI{F1l3s_Ar3_Lo@deD_iN_mEm0RY}

Challenge

Le fichier est trop large, il est disponible sur

Description

On va rechercher cette fois-ci un fichier. J'étais en train d'écrire dans un document Word.

Peux-tu me le récupérer ? Ce dernier contient le flag.

Il te faudra un outil adapté à l'analyse mémoire pour y arriver.

Note : Le fichier est le même pour les 4 étapes

sha1: c91d17b27d8bf5df0830bd6104801b065cca6ee9

Solution

On commence par scanner les fichiers avec le plugin windows.filescan.FileScan :

$ volatility3 -f memory.vmem windows.filescan.FileScan | grep -i ".doc"
0x9603532d0b90  \Users\Aramis\Documents 216
0x9603532d2c60  \Users\Aramis\Documents 216
0x960358086c10  \Users\Aramis\Documents\Portos.docm     216
0x9603580a4710  \Users\Aramis\Documents\Portos.docm     216
0x9603580a7460  \Users\Aramis\Documents\Portos.docm     216
0x960358343820  \Users\Aramis\Documents 216
0x960358346ed0  \Users\Aramis\Documents 216
0x960358359300  \Users\Aramis\Documents 216
0x960358363ee0  \Users\Public\Documents\desktop.ini     216

On détecte un fichier nommé Portos.docm. Il est détecté trois fois à trois adresses virtuelles différentes, on peut récupérer n'importe lequel avec le plugin windows.dumpfiles

$ volatility3 -f -o "./out/" memory.vmem windows.dumpfiles --virtaddr 0x960358086c10

Volatility 3 Framework 2.7.0
Progress:  100.00               PDB scanning finished
Cache   FileObject      FileName        Result

DataSectionObject       0x960358086c10  Portos.docm     Error dumping file
SharedCacheMap  0x960358086c10  Portos.docm     file.0x960358086c10.0x960353b8e010.SharedCacheMap.Portos.docm.vacb

De là, on récupère 2 fichiers :

<...>.Portos.docm.vacb
<...>.Portos.docm.dat

Partons sur la 2ᵈᵉ option, on trouve dansword/media l'image image1.jpeg