Pour analyser le dump mémoire j’ai utilisé l’outil Volatility3.
Pour connaitre le nom du logiciel utilisé par l’utilisateur j’ai commencé par lister les process en cours ainsi :
vol -f analyse-memoire.dmp windows.psscan.PsScan
Ceci nous donne une liste des process en cours mais beaucoup ne sont pas à l’initiative de l’utilisateur, il faut donc filtrer les process système pour avoir une liste plus facile à lire.
vol -f analyse-memoire.dmp windows.psscan.PsScan | grep -v -Ei 'svchost.exe'
On se retrouve ainsi avec une liste plus exploitable de process. J’ai ensuite parcouru la liste et ai regardé pour chacun quels fichiers étaient ouverts en utilisant le plugin handles ainsi :
vol -f analyse-memoire.dmp windows.handles --pid <id du process> | grep File
J’ai obtenu une liste mais là aussi, beaucoup de fichiers système pas directement manipulés par l’utilisateur. J’ai donc filtré un peu plus en ne gardant que les fichiers étant dans l’espace de stockage de l’utilisateur dont nous avons déjà extrait le nom d’utilisateur :
vol -f analyse-memoire.dmp windows.handles --pid <id du process> | grep File | grep 'Users\\<username>'
En parcourant la liste restreinte de fichiers j’ai pu identifier le fichier concerné.