Je viens de débuter le cours "Menez une investigation d’incident numérique forensic" et arrive à la premier phase concrète (https://openclassrooms.com/fr/courses/1750151-menez-une-investigation-d-incident-numerique-forensic). Il s'agit d'analyser un dump mémoire Windows à l'aide de volatility.
La premère étape consiste à récupérer le type d'OS avec l'option imageinfo. Jusque là, aucun problème :
@siftworkstation: ~/Téléchargements
$ vol.py -f 0C-002-memdump.mem imageinfo
Volatility Foundation Volatility Framework 2.6.1
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAddressSpace (/home/xxx/Téléchargements/0C-002-memdump.mem)
PAE type : PAE
DTB : 0x185000L
KDBG : 0x82b39c28L
Number of Processors : 1
Image Type (Service Pack) : 1
KPCR for CPU 0 : 0x82b3ac00L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2019-07-31 13:45:40 UTC+0000
Image local date and time : 2019-07-31 15:45:40 +0200
Par la suite, j'utilise la commande pslist, comme indiqué dans le cours. Mais Volatility m'indique le message suivant :
@siftworkstation: ~/Téléchargements
$ vol.py -f 0C-002-memdump.mem –-profile=Win7SP1x86 pslist
Volatility Foundation Volatility Framework 2.6.1
No suitable address space mapping found
Tried to open image as:
MachOAddressSpace: mac: need base
LimeAddressSpace: lime: need base
WindowsHiberFileSpace32: No base Address Space
VMotionMigrationAddressSpace: VMotionMigration re
[...]
Je précise que je travaille sur l'image fournis dans le cours, et que j'utilise a priori la même commande. D'après mes recherche, volatility ne parvient pas à parser l'image mémoire. le problème pourrait être que j'indique le mauvais profils OS/architecture. Dans le doute, j'ai retenté la même commande avec les autres profils proposés par la sortie de l'option ImageInfo, sans plus de résultats.
Dans le doute encore, j'ai bien vérifié l'intégrité de l'image en question :
A noter que ce n'est pas comme ça que la commande est présentée dans le cours. Cela doit donc dépendre de la version de volatility ou d'autres éléménts plus obscures.
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.