search

Mémoire 2/4

Catégorie: Forensic Difficulté: - Flag: CTFREI{F1l3s_Ar3_Lo@deD_iN_mEm0RY}

hashtag
Challenge

circle-exclamation

Le fichier est trop large, il est disponible sur MEGAarrow-up-right

circle-info

hashtag
Description

On va rechercher cette fois-ci un fichier. J'étais en train d'écrire dans un document Word.

Peux-tu me le récupérer ? Ce dernier contient le flag.

Il te faudra un outil adapté à l'analyse mémoire pour y arriver.

Note : Le fichier est le même pour les 4 étapes

sha1: c91d17b27d8bf5df0830bd6104801b065cca6ee9

hashtag
Solution

On commence par scanner les fichiers avec le plugin windows.filescan.FileScan :

$ volatility3 -f memory.vmem windows.filescan.FileScan | grep -i ".doc"
0x9603532d0b90  \Users\Aramis\Documents 216
0x9603532d2c60  \Users\Aramis\Documents 216
0x960358086c10  \Users\Aramis\Documents\Portos.docm     216
0x9603580a4710  \Users\Aramis\Documents\Portos.docm     216
0x9603580a7460  \Users\Aramis\Documents\Portos.docm     216
0x960358343820  \Users\Aramis\Documents 216
0x960358346ed0  \Users\Aramis\Documents 216
0x960358359300  \Users\Aramis\Documents 216
0x960358363ee0  \Users\Public\Documents\desktop.ini     216

On détecte un fichier nommé Portos.docm. Il est détecté trois fois à trois adresses virtuelles différentes, on peut récupérer n'importe lequel avec le plugin windows.dumpfiles

De là, on récupère 2 fichiers :

  • <...>.Portos.docm.vacb

  • <...>.Portos.docm.dat

C'est le .dat qui nous intéresse puisqu'il s'agit du fichier en lui-même. Donc là, soit on l'ouvre avec Word (pas fou fou sauf si vous êtes dans une sandbox), soit on utilise un logiciel comme WinRAR (car oui, les fichiers Word sont des archives).

Partons sur la 2ᵈᵉ option, on trouve dansword/media l'image image1.jpeg

PrécédentMémoire 1/4SuivantMémoire 3/4

Mis à jour