Une fois la position de M. Déchiffre retrouvé, vous avez pris un avion pour
tenter de le rejoindre.
Sur place, sa chambre d'hôtel est vide.
Vous y trouvez toutefois son ordinateur portable, éteint.
Votre travail consiste à trouver ce qu'il lui est arrivé, à partir du contenu de
son ordinateur.
À son hôtel, les enquêteurs ont retrouvé l'ordinateur de M. Déchiffre.
Il était éteint mais le disque dur n'est pas chiffré.
Ils ont extrait une partie du système de fichier de celui-ci.
En commençant l'analyse, les enquêteurs pensent que l'ordinateur a été
compromis par un malware.
Analysez-le pour retrouver le fichier compromis.
Dans les événements Security du 10 juin (attention au décalage horaire dans les journaux, il s'agit bien du 10), unique date qui est dans la semaine où
M. Déchiffre a disparu, on remarque le lancement de :
- C:\Program Files\FTPress\ftpress.exe
- C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
- C:\Program Files\LibreOffice\program\scalc.exe
- C:\Program Files\LibreOffice\program\soffice.exe
- C:\Program Files\LibreOffice\program\swriter.exe
En analysant ces applications, on remarque que l'application FTPress a une
bibliothèque dynamique libnetwork.dll qui a été modifiée à une date plus récente que les autres de l'application.
Il s'agit donc du fichier compromis.