Partage
  • Partager sur Facebook
  • Partager sur Twitter

Analyse mémoire Volatility (cours forensic)

24 novembre 2021 à 12:17:29

Bonjour,
Je viens de débuter le cours "Menez une investigation d’incident numérique forensic" et arrive à la premier phase concrète (https://openclassrooms.com/fr/courses/1750151-menez-une-investigation-d-incident-numerique-forensic). Il s'agit d'analyser un dump mémoire Windows à l'aide de volatility. 
La premère étape consiste à récupérer le type d'OS avec l'option imageinfo. Jusque là, aucun problème :
@siftworkstation: ~/Téléchargements
$ vol.py -f 0C-002-memdump.mem imageinfo
Volatility Foundation Volatility Framework 2.6.1
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/xxx/Téléchargements/0C-002-memdump.mem)
                      PAE type : PAE
                           DTB : 0x185000L
                          KDBG : 0x82b39c28L
          Number of Processors : 1
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0x82b3ac00L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2019-07-31 13:45:40 UTC+0000
     Image local date and time : 2019-07-31 15:45:40 +0200
Par la suite, j'utilise la commande pslist, comme indiqué dans le cours. Mais Volatility m'indique le message suivant :
@siftworkstation: ~/Téléchargements
$ vol.py -f 0C-002-memdump.mem –-profile=Win7SP1x86 pslist 
Volatility Foundation Volatility Framework 2.6.1
No suitable address space mapping found
Tried to open image as:
 MachOAddressSpace: mac: need base
 LimeAddressSpace: lime: need base
 WindowsHiberFileSpace32: No base Address Space
 VMotionMigrationAddressSpace: VMotionMigration re
 [...]
Je précise que je travaille sur l'image fournis dans le cours, et que j'utilise a priori la même commande. D'après mes recherche, volatility ne parvient pas à parser l'image mémoire. le problème pourrait être que j'indique le mauvais profils OS/architecture. Dans le doute, j'ai retenté la même commande avec les autres profils proposés par la sortie de l'option ImageInfo, sans plus de résultats.
Dans le doute encore, j'ai bien vérifié l'intégrité de l'image en question :
@siftworkstation: ~/Téléchargements
$ cat hash.txt 
MD5 (0C-002-memdump.mem) = 382e0a06865ddcf5aee46aa414fa011b
81f8aae273cde3561041b99980b3f5cad818ca12  0C-002-memdump.mem
@siftworkstation: ~/Téléchargements
$ md5sum 0C-002-memdump.mem 
382e0a06865ddcf5aee46aa414fa011b  0C-002-memdump.mem
@siftworkstation: ~/Téléchargements
$ sha1sum 0C-002-memdump.mem 
81f8aae273cde3561041b99980b3f5cad818ca12  0C-002-memdump.mem
Avez vous des pistes pour m'aider à résoudre ce problème ?
Merci
EDIT :
OK j'ai trouvé... Il faut préciser le nom du fichier à la fin.
vol.py --profile=Win7SP1x86 pslist -f 0C-002-memdump.mem
A noter que ce n'est pas comme ça que la commande est présentée dans le cours. Cela doit donc dépendre de la version de volatility ou d'autres éléménts plus obscures.

En esperant que cela puisse en aider d'autres :)

-
Edité par Neaj744 24 novembre 2021 à 15:09:36

  • Partager sur Facebook
  • Partager sur Twitter
28 décembre 2022 à 23:09:44

Sous windows avec volatility3

Pour récupérer le profil de l'image il semble que la commande:

python.exe vol.py -f memdump.mem imageinfo

soit aujourd'hui:

python.exe vol.py -f memdump.mem windows.info

L'utilisation semble simplifié:

python.exe vol.py -f memdump.mem –-profile=Win7SP1x86 pslist
python.exe vol.py -f memdump.mem windows.pslist
python.exe vol.py -f memdump.mem –-profile=Win7SP1x86 dlllist  -p 1808
python.exe vol.py -f memdump.mem windows.dlllist  --pid 1808
python.exe vol.py -f memdump.mem –-profile=Win7SP1x86 hivelist
python.exe vol.py -f memdump.mem windows.registry.hivelist
python.exe vol.py -f memdump.mem --profile=Win7SP1x86 hashdump -y 0x8981c008 -s 0x8a6579c8

(installer pycryptodome: pip install pycryptodome)
python.exe vol.py -f memdump.mem windows.hashdump
python.exe vol.py -f memdump.mem --profile=Win7SP1x86 netscan
python.exe vol.py -f memdump.mem windows.netscan

Merci pour ce cours très interressant

-
Edité par re:Z3R0 28 décembre 2022 à 23:13:31

  • Partager sur Facebook
  • Partager sur Twitter
2 avril 2024 à 16:42:28 - Message modéré pour le motif suivant : Merci de créer votre propre sujet


2 avril 2024 à 19:12:07

@gillesmav Bonsoir, merci de ne pas squatter le sujet des autres pour une nouvelle question, créer votre propre sujet. 

Le message qui suit est une réponse automatique activée par un membre de l'équipe de modération. Les réponses automatiques leur permettent d'éviter d'avoir à répéter de nombreuses fois la même chose, ce qui leur fait gagner du temps et leur permet de s'occuper des sujets qui méritent plus d'attention.
Nous sommes néanmoins ouverts et si vous avez une question ou une remarque, n'hésitez pas à contacter la personne en question par Message Privé.

Pour plus d'informations, nous vous invitons à lire les règles générales du forum

Déterrage

Citation des règles générales du forum :

Avant de poster un message, vérifiez la date du sujet dans lequel vous comptiez intervenir.

Si le dernier message sur le sujet date de plus de deux mois, mieux vaut ne pas répondre.
En effet, le déterrage d'un sujet nuit au bon fonctionnement du forum, et l'informatique pouvant grandement changer en quelques mois il n'est donc que rarement pertinent de déterrer un vieux sujet.

Au lieu de déterrer un sujet il est préférable :

  • soit de contacter directement le membre voulu par messagerie privée en cliquant sur son pseudonyme pour accéder à sa page profil, puis sur le lien "Ecrire un message"
  • soit de créer un nouveau sujet décrivant votre propre contexte
  • ne pas répondre à un déterrage et le signaler à la modération

Liens conseillés

  • Partager sur Facebook
  • Partager sur Twitter