Table des matières
Installer Volatility3
La procédure officielle étant claire, je ne vais pas la paraphraser : https://github.com/volatilityfoundation/volatility3
Récupérer le nom d’utilisateur
Pour récupérer l’utilisateur, il est simple de chercher une chaîne typique, nous cherchons donc le home.
vol -f analyse-memoire.dmp windows.registry.printkey --key "Microsoft\\Windows NT\\CurrentVersion\\ProfileList" | Select-String "C:\\Users\\"
Nous pouvons voir que le seul utilisateur est : C:\Users\userfcsc-10
Le nom de la machine
vol -f analyse-memoire.dmp windows.envars | Select-String "COMPUTERNAME"
La sortie est suffisament explicite : 5512 RuntimeBroker. 0x1ef46c033f0 COMPUTERNAME DESKTOP-JV996VQ
L’IP
vol -f .\analyse-memoire.dmp windows.netscan
Nous éliminons les adresses locales et celles ne pointant pas vers l’extérieur, il ne reste que : 10.0.2.15
Resultat
On concatène : FCSC{userfcsc-10:DESKTOP-JV996VQ:10.0.2.15}.