Table des matières
Pour résoudre cette épreuve, j’ai utilisé l’outil Volatility, qui est un framework d’analyse de mémoire vive (RAM) permettant d’extraire des informations à partir de dumps mémoire.
Pour commencer, j’ai exécuté la commande suivante pour lister les processus en cours d’exécution dans la capture mémoire :
vol -f /mnt/data/upload/analyse-memoire.dmp windows.pslist.PsList
Après avoir repérer cette ligne:
9048 8968 soffice.bin 0xa50a297e7240 13 - 1 False 2025-04-01 22:11:34.000000 UTC N/A Disabled
J’ai ensuite utilisé la commande suivante pour récupérer les handles de fichiers ouverts par le processus “soffice.bin”:
# première tentative
vol -f /mnt/data/upload/analyse-memoire.dmp windows.handles --pid 9048
# deuxième tentative pour réduire en masse les résultats
vol -f /mnt/data/upload/analyse-memoire.dmp windows.handles --pid 9048 | grep User
Résultat
On se retrouve donc avec le nom de l’application et le nom du document, ce qui nous donne le flag suivant :
FCSC{soffice.bin:[SECRET-SF][TLP-RED]Plan FCSC 2026.odt}