Note utilisateur: 0 / 5

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

 

volatility pour retrouver une chaine de caracteres

 

Un mot de passe est en mémoire quelquepart, trouvez-le

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

L’ordinateur a étré mis en hibernation. On nous donne le fichier hiberfile.sys

Test des modules de volatility:

- pstree, filescan, clipboard, etc.

- le screenshot module a donné une image

# vol -f hiberfil.sys --profile=Win7SP0x64 imagecopy -O hiberfil.raw
# vol -f hiberfil.raw --profile=Win7SP0x64 screenshot
On trouve une image de notepad

 

Une question? Posez-la ici

Aide pentest d'applications

On va donc utiliser le module editbox de volatility
# vol -f hiberfil.raw --profile=Win7SP0x64 editbox
Volatility Foundation Volatility Framework 2.6
******************************
Wnd Context : 1\WinSta0\Default
Process ID : 1288
ImageFileName : notepad.exe
IsWow64 : No
atom_class : 6.0.7600.16385!Edit
value-of WndExtra : 0x212800
nChars : 56
selStart : 56
selEnd : 56
isPwdControl : False
undoPos : 52
undoLen : 2
address-of undoBuf: 0x219bc0
undoBuf : Mà
-------------------------
/!\ Password for 192.168.25.18:
I_H4te_Hib3rnate_m0de
Flag!

 

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

 

 

 

Renseigner le résultat dans le champ ci-dessous (Pour concaténation et rapport à la fin)

Analyser, se poser des questions sur le résultat. Noter aussi les remarques sur le résultats s'il semble étrange

et passer à la phase suivante