volatility pour retrouver une chaine de caracteres
Un mot de passe est en mémoire quelquepart, trouvez-le
Une question? Posez-la ici
L’ordinateur a étré mis en hibernation. On nous donne le fichier hiberfile.sys
Test des modules de volatility:
- pstree, filescan, clipboard, etc.
- le screenshot module a donné une image
# vol -f hiberfil.sys --profile=Win7SP0x64 imagecopy -O hiberfil.raw
# vol -f hiberfil.raw --profile=Win7SP0x64 screenshot
On trouve une image de notepad
Une question? Posez-la ici
On va donc utiliser le module editbox de volatility
# vol -f hiberfil.raw --profile=Win7SP0x64 editbox
Volatility Foundation Volatility Framework 2.6
******************************
Wnd Context : 1\WinSta0\Default
Process ID : 1288
ImageFileName : notepad.exe
IsWow64 : No
atom_class : 6.0.7600.16385!Edit
value-of WndExtra : 0x212800
nChars : 56
selStart : 56
selEnd : 56
isPwdControl : False
undoPos : 52
undoLen : 2
address-of undoBuf: 0x219bc0
undoBuf : Mà
-------------------------
/!\ Password for 192.168.25.18:
I_H4te_Hib3rnate_m0de
Flag!
Une question? Posez-la ici