Récupération du nom du programme
Nous allons utiliser le plugin windows.sessions. Cela permet d’obtenir les sessions actives lors de la capture.
vol -f analyse-memoire.dmp windows.sessions
Nous pouvons voir qu’il y a un processus dont le nom parait un bon candidat pour la suite Office.
1 Console 8968 soffice.exe DESKTOP-JV996VQ/userfcsc-10 2025-04-01 22:11:34.000000 UTC
Récupération du nom du fichier
Si nous regardons les commandes lancées par ce programme, nous pouvons constater que c’est bien un éditeur de document (odt).
vol -f analyse-memoire.dmp windows.cmdline | Select-String "soffice"
8968 soffice.exe “C:\Program Files\LibreOffice\program\soffice.exe” -o “C:\Users\userfcsc-10\Desktop\ [SECRET-SF][TLP-RED]Plan FCSC 2026.odt "
Résultat
Nous pouvons donc conclure qu’il est fort probable que le flag soit : FCSC{soffice.exe:[SECRET-SF][TLP-RED]Plan FCSC 2026.odt}.