Solution de lrstx pour Académie de l'investigation - Premiers artéfacts

forensics memory linux

4 mai 2024

Préambule: cette (ancienne) solution s’appuie sur Volatility 2.6, datant de 2016. vol est un wrapper rappelant les paramètres fixes dans cette analyse (image mémoire et profil):

python2 /opt/volatility/vol.py -f dmp.mem --profile LinuxDebian-FCSCx64 $@

Pour le process, il y a une subtilité parce qu’il n’apparait pas dans linux_pslist ou linux_pstree. Mon hypothèse est qu’il est arrêté. En revanche, il apparaît bien dans linux_psxview :

$ ./vol linux_psxview | grep 1254
0x000000003fdccd80 pool-xfconfd           1254 False  True   False    False      False   False  

La commande à retrouver par sa date d’exécution est, elle, présente dans l’historique du bash :

$ ./vol linux_bash | grep "2020-03-26 23:29:19"
    1523 bash                 2020-03-26 23:29:19 UTC+0000   nmap -sS -sV 10.42.42.0/24

Pour finir, le nombre d’IP destinations des connexions TCP établies :

$ ./vol linux_netstat --output=greptext | grep ESTABLISHED | cut -d"|" -f5 | sort | uniq | wc -l
13

Je suis peut-être allé un peu vite ? On détaille :

Et voici notre flag :

FCSC{pool-xfconfd:nmap -sS -sV 10.42.42.0/24:13}