Mémoire 2/4
Catégorie: Forensic Difficulté: - Flag: CTFREI{F1l3s_Ar3_Lo@deD_iN_mEm0RY}
Challenge
Le fichier est trop large, il est disponible sur MEGA
Description
On va rechercher cette fois-ci un fichier. J'étais en train d'écrire dans un document Word.
Peux-tu me le récupérer ? Ce dernier contient le flag.
Il te faudra un outil adapté à l'analyse mémoire pour y arriver.
Note : Le fichier est le même pour les 4 étapes
sha1: c91d17b27d8bf5df0830bd6104801b065cca6ee9
Solution
On commence par scanner les fichiers avec le plugin windows.filescan.FileScan :
$ volatility3 -f memory.vmem windows.filescan.FileScan | grep -i ".doc"
0x9603532d0b90 \Users\Aramis\Documents 216
0x9603532d2c60 \Users\Aramis\Documents 216
0x960358086c10 \Users\Aramis\Documents\Portos.docm 216
0x9603580a4710 \Users\Aramis\Documents\Portos.docm 216
0x9603580a7460 \Users\Aramis\Documents\Portos.docm 216
0x960358343820 \Users\Aramis\Documents 216
0x960358346ed0 \Users\Aramis\Documents 216
0x960358359300 \Users\Aramis\Documents 216
0x960358363ee0 \Users\Public\Documents\desktop.ini 216On détecte un fichier nommé Portos.docm. Il est détecté trois fois à trois adresses virtuelles différentes, on peut récupérer n'importe lequel avec le plugin windows.dumpfiles
$ volatility3 -f -o "./out/" memory.vmem windows.dumpfiles --virtaddr 0x960358086c10
Volatility 3 Framework 2.7.0
Progress: 100.00 PDB scanning finished
Cache FileObject FileName Result
DataSectionObject 0x960358086c10 Portos.docm Error dumping file
SharedCacheMap 0x960358086c10 Portos.docm file.0x960358086c10.0x960353b8e010.SharedCacheMap.Portos.docm.vacbDe là, on récupère 2 fichiers :
<...>.Portos.docm.vacb<...>.Portos.docm.dat
C'est le .dat qui nous intéresse puisqu'il s'agit du fichier en lui-même. Donc là, soit on l'ouvre avec Word (pas fou fou sauf si vous êtes dans une sandbox), soit on utilise un logiciel comme WinRAR (car oui, les fichiers Word sont des archives).
Partons sur la 2ᵈᵉ option, on trouve dansword/media l'image image1.jpeg
Dernière mise à jour
Cet article vous a-t-il été utile ?