En principe vous avez déjà fait le challenge: Analyse mémoire - Pour commencer (1/2)
Vous avez donc déjà le fichier .dmp et volatility3.
Au besoin, retrouver les informations sur la correction Analyse mémoire - Pour commencer (1/2).
On doit cette fois récupérer :
- le nom du logiciel d’édition,
- le nom du document.
Étape 1 : récupérer le nom du logiciel d’édition du document
En fait, on avait déjà potentiellement repéré dans le premier exercice le nom du logiciel.
On va récupérer la liste des services.
vol -f /mnt/c/Users/cyrha/Desktop/demo/file.dmp windows.pslist
On récupère dans la colonne ImageFileName le nom des applications / services, mais il y a beaucoup de svchost.exe, pour plus de clarté, on va retirer ce service des résultats :
vol -f /mnt/c/Users/cyrha/Desktop/demo/file.dmp windows.pslist | grep -v -Ei 'svchost.exe'
On trouve assez facilement le nom de l’application (soffice.exe)
Étape 2 : récupérer le nom du fichier en cours d’édition
En recherchant dans les commandes line et en filtrant uniquement avec soffice.exe
vol -f /mnt/c/Users/cyrha/Desktop/demo/file.dmp windows.cmdline | grep -Ei 'soffice.exe'
On trouve le nom du fichier.
Attention il faut le nom complet, mais pas le chemin; uniquement le nom du fichier ;-)
Le flag est au format FCSC{<nom du logiciel>:<nom du document>}