==== "Password manager 1" ====

  Catégorie: Forensic
  
  Score : 500
  
  Description : "Please recover the password from that memory dump"

Nous avions à télécharger l’archive suivante :

http://54.247.160.116/forensics/keep1.tar

Cette dernière contenait un seul fichier  :
 - memdump.raw (dump physique de la RAM)

On utilise tout d'abord l’outil volatility (Windows ou Linux) pour identifier d'où vient ce dump de RAM.

C:\NDH2K12>volatility.exe imageinfo -f memdump.raw
Volatile Systems Volatility Framework 2.0
Determining profile based on KDBG search...

          Suggested Profile(s) : WinXPSP3x86, WinXPSP2x86 (Instantiated with WinXPSP2x86)
                     AS Layer1 : JKIA32PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (memdump.raw)
                      PAE type : No PAE
                           DTB : 0x39000
                          KDBG : 0x8054cde0L
                          KPCR : 0xffdff000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2012-05-09 11:06:48
     Image local date and time : 2012-05-09 11:06:48
          Number of Processors : 1
                    Image Type : Service Pack 3

Les process tournant en RAM vont nous éclairer pour la suite de nos recherches Forensic :

C:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw
Volatile Systems Volatility Framework 2.0 Offset(V)
   Name                 PID    PPID   Thds   Hnds   Time
   ---------- -------------------- ------ ------ ------ ------ -------------------
   0x812ed020 System                    4      0     55    231 1970-01-01 00:00:00
   0x811cc5a0 smss.exe                368      4      3     19 2012-05-09 20:06:10
   [...]
   0x81129a48 PassKeep.exe           1864   1508      2     39 2012-05-09 11:06:17
   0xffb22da0 PassKeep.exe           1872   1864      2    104 2012-05-09 11:06:17
   0x8120cc08 svchost.exe            1972    652      5    106 2012-05-09 11:06:21
   0xffb7a440 wscntfy.exe            1040   1044      1     39 2012-05-09 11:06:24
   0x8113f910 alg.exe                1228    652      7    104 2012-05-09 11:06:24
   0xffb43c08 DumpIt.exe              124   1508      1     25 2012-05-09 11:06:46

On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe

C:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D

Volatile Systems Volatility Framework 2.0
************************************************************************
Writing PassKeep.exe [  1872] to 1872.dmp


Une recherche de strings plus tard on a la clef !

C:\NDH2K12>strings 1872.dmp > 1872.dmp.txt
  [...]
  admin
  admin
  J5XfFsmdrBkRE
  http://flag.ndh2012.com
  Good game
  c:\program files\software by design\passkeep
  [...]

Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer !
Texte : J5XfFsmdrBkRE
Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f