Solution de eric6419 pour Analyse mémoire - Pour commencer (1/2)

intro forensics windows mémoire

25 juillet 2025

  1. Télécharger puis dézipper avec 7zip analyse-memoire.tar.xz pour obtenir le fichier analyse-memoire.dmp
  2. Installer Volatility3 sur sa machine : pip install volatility3
  3. Pour trouver le nom utilisateur et le nom de la machine tu execute :
   vol -f analyse-memoire.dmp windows.sessions

ce qui donne :

1 Console 4732 msedge.exe DESKTOP-JV996VQ/userfcsc-10 2025-04-01 22:13:42.000000 UTC
1 - 2848 TextInputHost. DESKTOP-JV996VQ/userfcsc-10 2025-04-01 22:13:43.000000 UTC
1 Console 2624 msedge.exe DESKTOP-JV996VQ/userfcsc-10 2025-04-01 22:14:06.000000 UTC

On en déduit que le nom utilisateur est : userfcsc-10 et le nom de la machine: DESKTOP-JV996VQ.

4. Pour trouver l’adresse IPv4, non locale, de la machine:

vol -f analyse-memoire.dmp windows.netscan
0xa50a206ba8a0 TCPv4 10.0.2.15 65480 185.231.164.136 443 CLOSED 7232 msedge.exe 2025-04-01 22:14:07.000000 UTC
0xa50a20a31910 TCPv4 0.0.0.0 7680 0.0.0.0 0 LISTENING 9112 svchost.exe 2025-04-01 22:12:52.000000 UTC
0xa50a20a31910 TCPv6 :: 7680 :: 0 LISTENING 9112 svchost.exe 2025-04-01 22:12:52.000000 UTC
0xa50a20b39010 TCPv4 10.0.2.15 49701 13.107.246.254 443 CLOSE_WAIT 6720 SearchApp.exe 2025-04-01 22:11:02.000000 UTC
0xa50a20e66a20 TCPv4 10.0.2.15 51497 150.171.28.12 443 CLOSED 7232 msedge.exe 2025-04-01 22:13:43.000000 UTC

Donc l’adresse ip de la machine est : 10.0.2.15

5. Au final, nous obtenons le flag : FCSC{userfcsc-10:DESKTOP-JV996VQ:10.0.2.15}.