- Télécharger puis dézipper avec 7zip
analyse-memoire.tar.xz
pour obtenir le fichieranalyse-memoire.dmp
- Installer Volatility3 sur sa machine :
pip install volatility3
- Pour trouver le nom utilisateur et le nom de la machine tu execute :
vol -f analyse-memoire.dmp windows.sessions
ce qui donne :
1 Console 4732 msedge.exe DESKTOP-JV996VQ/userfcsc-10 2025-04-01 22:13:42.000000 UTC
1 - 2848 TextInputHost. DESKTOP-JV996VQ/userfcsc-10 2025-04-01 22:13:43.000000 UTC
1 Console 2624 msedge.exe DESKTOP-JV996VQ/userfcsc-10 2025-04-01 22:14:06.000000 UTC
On en déduit que le nom utilisateur est : userfcsc-10
et le nom de la machine: DESKTOP-JV996VQ
.
4. Pour trouver l’adresse IPv4, non locale, de la machine:
vol -f analyse-memoire.dmp windows.netscan
0xa50a206ba8a0 TCPv4 10.0.2.15 65480 185.231.164.136 443 CLOSED 7232 msedge.exe 2025-04-01 22:14:07.000000 UTC
0xa50a20a31910 TCPv4 0.0.0.0 7680 0.0.0.0 0 LISTENING 9112 svchost.exe 2025-04-01 22:12:52.000000 UTC
0xa50a20a31910 TCPv6 :: 7680 :: 0 LISTENING 9112 svchost.exe 2025-04-01 22:12:52.000000 UTC
0xa50a20b39010 TCPv4 10.0.2.15 49701 13.107.246.254 443 CLOSE_WAIT 6720 SearchApp.exe 2025-04-01 22:11:02.000000 UTC
0xa50a20e66a20 TCPv4 10.0.2.15 51497 150.171.28.12 443 CLOSED 7232 msedge.exe 2025-04-01 22:13:43.000000 UTC
Donc l’adresse ip de la machine est : 10.0.2.15
5. Au final, nous obtenons le flag : FCSC{userfcsc-10:DESKTOP-JV996VQ:10.0.2.15}
.