Pour analyser le dump mémoire j’ai utilisé l’outil Volatility3.
Pour extraire l’IP v4 j’ai utilisé le plugin netstat ainsi :
vol -f analyse-memoire.dmp windows.netstat | grep TCPv4
En lisant les réponses j’ai pu identifier l’IP.
Pour extraire le nom d’utilisateur et le nom de la machine j’ai utilisé le plugin envars ainsi :
vol -f analyse-memoire.dmp windows.envars | grep -E '(USERDOMAIN|USERNAME)'
En lisant les réponses j’ai ainsi pu identifier le nom d’utilisateur ainsi que le nom de la machine utilisée.