Volatility – Memory Forensic

Volatility est un framework Open Source  (dispo ici )  utilisant Python destiné a l’analyse de RAM notamment pour tout ce qui concerne les incident ou les Malwares .. Nous allons ici voir quelques commandes, et la puissance de ce petit tools !


Pour cela je travaillerais avec un dump de ram que j’ai forgé plus tot dans la journée avec WinpMem ( mais il en existe pleins d’autres ! )

Determiner l’OS.

 

Première étape, avant de foncer tete baissée il nous faut determiner a quel OS nous avons a faire.
Pour cela on utilise la commande imageinfo .

 
volatility a ici detecté un windows xp sp3 32 bits
 
Le resultat de cette commande est très important car nous allons nous en servir souvent pour la suite.

Les Variables d’environnement

Il est maintenant temps de faire un peu plus connaissance avec notre dump.
Rien de très compliqué, on commence doucement : envars.
–profile correspond au profil trouvé precedement.
Je ne vous donne pas le resultat de cette commande, parce qu’il y en a vraiment beaucoup ..

Récupérer les hash du SAM

Comme vous le savez surement, les mots de passe windows sont stockés sous forme de hash. Il est possible de récupérer ces hash avec volatility.
La commande hivelist va nous permettre de récupérer l’emplacement en memoire du fichier SAM.
Maintenant il ne nous reste qu’a utiliser la commande hashdump en lui precisant deux parametres :
-y l’offset du fichier system
-s l’offset du fichier sam
Ce qui nous donne de jolis hash !
————-======= Article non terminé ============—- Vous pouvez quand même commenter 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *