Analyse mémoire 3/5 - Où est le pansement ?

forensics windows mémoire FCSC 2025 résolu le

star star star

Description

Le processus à l’origine du malware parait légitime. L’attaquant a certainement dû le modifier pour injecter son code et exécuter sa chaine de compromission. Retrouvez le Thread malveillant. À partir de là, retrouvez l’adresse virtuelle de la PTE modifiée par l’attaquant.

Le flag est au format FCSC{<thread_id>:<virtual_address>} où :

  • <thread_id> est l’identifiant du Thread (TID) malveillant et
  • <virtual_address> est l’adresse virtuelle (dans le contexte du processus malveillant) du début de la page mémoire (PTE) modifiée.

Par exemple : FCSC{420:0x0022446688aaccee}.

Cette épreuve fait partie d’une série à faire dans l’ordre :

Fichiers

Auteur

haxom

Flag

Partager ma réussite sur Fediverse, Twitter, Linkedin, Facebook, ou par email.

Soumettez votre solution

Vous pouvez envoyer votre solution rédigée pour cette épreuve. La FAQ contient la marche à suivre.

Vous avez besoin d'être identifié(e) pour soumettre une solution.

Solutions

Il n'y a pas encore de solutions pour cette épreuve, mais vous pouvez soumettre la vôtre après avoir trouvé le flag.