Outils d'utilisateurs

Outils du Site


Ceci est une ancienne révision du document !

"Password manager 1"

Catégorie: Forensic

Score : 500

Description : "Please recover the password from that memory dump"

Nous avions à télécharger l’archive suivante :

Cette dernière contenait un seul fichier : - memdump.raw (dump physique de la RAM)

On utilise tout d'abord l’outil volatility (Windows ou Linux) pour identifier d'où vient ce dump de RAM.

C:\NDH2K12>volatility.exe imageinfo -f memdump.raw Volatile Systems Volatility Framework 2.0 Determining profile based on KDBG search…

        Suggested Profile(s) : WinXPSP3x86, WinXPSP2x86 (Instantiated with WinXPSP2x86)
                   AS Layer1 : JKIA32PagedMemory (Kernel AS)
                   AS Layer2 : FileAddressSpace (memdump.raw)
                    PAE type : No PAE
                         DTB : 0x39000
                        KDBG : 0x8054cde0L
                        KPCR : 0xffdff000L
           KUSER_SHARED_DATA : 0xffdf0000L
         Image date and time : 2012-05-09 11:06:48
   Image local date and time : 2012-05-09 11:06:48
        Number of Processors : 1
                  Image Type : Service Pack 3

Les process tournant en RAM vont nous éclairer pour la suite de nos recherches Forensic :

C:\NDH2K12>volatility pslist –profile=WinXPSP3x86 -f memdump.raw Volatile Systems Volatility Framework 2.0 Offset(V)

 Name                 PID    PPID   Thds   Hnds   Time
 ---------- -------------------- ------ ------ ------ ------ -------------------
 0x812ed020 System                    4      0     55    231 1970-01-01 00:00:00
 0x811cc5a0 smss.exe                368      4      3     19 2012-05-09 20:06:10
 0x81129a48 PassKeep.exe           1864   1508      2     39 2012-05-09 11:06:17
 0xffb22da0 PassKeep.exe           1872   1864      2    104 2012-05-09 11:06:17
 0x8120cc08 svchost.exe            1972    652      5    106 2012-05-09 11:06:21
 0xffb7a440 wscntfy.exe            1040   1044      1     39 2012-05-09 11:06:24
 0x8113f910 alg.exe                1228    652      7    104 2012-05-09 11:06:24
 0xffb43c08 DumpIt.exe              124   1508      1     25 2012-05-09 11:06:46

On va alors s'intéresser au PID 1872 et dumper le contenu en mémoire de PassKeep.exe

C:\NDH2K12>volatility –profile=WinXPSP3x86 -f memdump.raw -p 1872 memdump -D

Volatile Systems Volatility Framework 2.0 Writing PassKeep.exe [ 1872] to 1872.dmp

Une recherche de strings plus tard nous donnera la clef !

C:\NDH2K12>strings 1872.dmp > 1872.dmp.txt

Good game
c:\program files\software by design\passkeep

Qu'il ne restera plus qu'à passer à la moulinette MD5 pour scorer ! Texte : J5XfFsmdrBkRE Résultat : abc7d6294e04e6d6f5c4a9e1aa62370f

ndh2k12_public/forensic/password_manager_1.1341345709.txt.gz · Dernière modification: 2017/04/09 15:33 (modification externe)