Solution de timruff pour Académie de l'investigation - C'est la rentrée

forensics mémoire linux

26 mars 2026

Table des matières

Contexte

On a une image mémoire d’un ordinateur sous GNU/Linux, le but est de la retrouver :

  1. Le hostname.
  2. Le nom d’utilisateur lors du dump.
  3. La version de Linux.

Solution

Pour résoudre je vais utiliser volatility 3, version minimum 2.27.
Pour retrouver le hostname nous allons voir les messages au démarrage du système d’exploitation.

python3 ./vol.py -f ./dmp.mem linux.kmsg.Kmsg | grep hostname
daemonssinfo00.02.639205	-tackingsystemd[1]: Set hostname to <challenge.fcsc>.

Ici on voit que le hostname est : challenge.fcsc

python3 ./vol.py -f ./dmp.mem linux.bash.Bash
Volatility 3 Framework 2.27.0

PID	Process	CommandTime	Command

1523	bash	2020-03-26 23:24:18.000000 UTC	rm .bash_history 
1523	bash	2020-03-26 23:24:18.000000 UTC	exit
1523	bash	2020-03-26 23:24:18.000000 UTC	vim /home/Lesage/.bash_history 
1523	bash	2020-03-26 23:24:27.000000 UTC	ss -laupt
1523	bash	2020-03-26 23:26:06.000000 UTC	rkhunter -c
1523	bash	2020-03-26 23:29:19.000000 UTC	nmap -sS -sV 10.42.42.0/24
1523	bash	2020-03-26 23:31:31.000000 UTC	ip -c addr
1523	bash	2020-03-26 23:38:00.000000 UTC	swapoff -a
1523	bash	2020-03-26 23:38:05.000000 UTC	swapon -a
1523	bash	2020-03-26 23:40:18.000000 UTC	ls
1523	bash	2020-03-26 23:40:23.000000 UTC	cat LiME.txt 
1523	bash	2020-03-26 23:40:33.000000 UTC	cd LiME/src/
1523	bash	2020-03-26 23:40:54.000000 UTC	
1523	bash	2020-03-26 23:40:54.000000 UTC	insmod lime-5.4.0-4-amd64.ko "path=/dmp.mem format=lime timeout=0"

Pour voir le nom d’utilisateur on regarde la commande taper dans le terminal, ici on a de la chance, on voit le nom de l’utilisateur quand le fichier .bash_history est ouvert avec vim.
Le nom d’utilisateur est : Lesage.

python3 ./vol.py -f ./dmp.mem banners.Banners
0xc6001c0	Linux version 5.4.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 9.2.1 20200203 (Debian 9.2.1-28)) #1 SMP Debian 5.4.19-1 (2020-02-13)
0xd0303f4	Linux version 5.4.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 9.2.1 20200203 (Debian 9.2.1-28)) #1 SMP Debian 5.4.19-1 (2020-02-13)
0x4b500010	Linux version 5.4.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 9.2.1 20200203 (Debian 9.2.1-28)) #1 SMP Debian 5.4.19-1 (2020-02-13)

Avec cette commande on peut afficher ma version linux, ici c’est : 5.4.0-4-amd64.