Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

--- ndh2k12_public:forensic:password_manager_1 [2012/07/03 21:59]
Nickname
+++ ndh2k12_public:forensic:password_manager_1 [2017/04/09 15:33] (Version actuelle)
@@ Ligne 1: / Ligne 1: @@
 ==== "Password manager 1" ====
-Categorie: Forensic
-Score : 500
+  Catégorie: Forensic
-Description
-"Please recover the password from that memory dump"
+  Score : 500
+  Description : "Please recover the password from that memory dump"
 Nous avions à télécharger l’archive suivante :
@@ Ligne 35: / Ligne 37: @@
 C:\NDH2K12>volatility pslist --profile=WinXPSP3x86 -f memdump.raw
 Volatile Systems Volatility Framework 2.0 Offset(V)
-Name                 PID    PPID   Thds   Hnds   Time
+   Name                 PID    PPID   Thds   Hnds   Time
----------- -------------------- ------ ------ ------ ------ -------------------
+   ---------- -------------------- ------ ------ ------ ------ -------------------
 x812ed020 System                    4      0     55    231 1970-01-01 00:00:00
 x811cc5a0 smss.exe                368      4      3     19 2012-05-09 20:06:10
-[...]
+   [...]
 x81129a48 PassKeep.exe           1864   1508      2     39 2012-05-09 11:06:17
 xffb22da0 PassKeep.exe           1872   1864      2    104 2012-05-09 11:06:17
 x8120cc08 svchost.exe            1972    652      5    106 2012-05-09 11:06:21
 xffb7a440 wscntfy.exe            1040   1044      1     39 2012-05-09 11:06:24
 x8113f910 alg.exe                1228    652      7    104 2012-05-09 11:06:24
 xffb43c08 DumpIt.exe              124   1508      1     25 2012-05-09 11:06:46
 On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe
-C:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D .
+C:\NDH2K12>volatility --profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D
 Volatile Systems Volatility Framework 2.0
 ************************************************************************
@@ Ligne 55: / Ligne 58: @@
-Une recherche de strings plus tard nous donnera la clef !
+Une recherche de strings plus tard on a la clef !
-D:\NDH2K12>strings 1872.dmp > 1872.dmp.txt
+C:\NDH2K12>strings 1872.dmp > 1872.dmp.txt
-[...]
+  [...]
-admin
+  admin
-admin
+  admin
-J5XfFsmdrBkRE
+  J5XfFsmdrBkRE
-http://flag.ndh2012.com
+  http://flag.ndh2012.com
-Good game
+  Good game
-c:\program files\software by design\passkeep
+  c:\program files\software by design\passkeep
-[...]
+  [...]
 Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer !
 Texte : J5XfFsmdrBkRE
 Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f

Zenk - Security

Outils d'utilisateurs

Outils du Site

Différences

Outils de la Page