Une partition contenant le fichier hiberfil.sys a été retrouvée malgré l'effacement du disque Windows.
Maintenant que nous savons où Julien est parti, nous nous intéressons à son ordinateur retrouvé dans sa chambre d'hôtel. Il se pourrait qu'un détail important s'y cache. Malheureusement, le disque dur a été effacé avant que nous puissions l'examiner.
Une partition contenant le fichier hiberfil.sys a été retrouvée malgré l'effacement du disque Windows. Pour cela, différents chercheurs ont extrait ce fichier et l'ont transformé en hiberfil.mem, afin de faciliter son analyse.
L'objectif est d’analyser cette image mémoire pour en extraire des informations.
hiberfil.vmem)Pour résoudre ce challenge, vous aurez besoin des outils suivants :
Pour commencer, il faut utiliser Volatility afin d'obtenir différentes informations utiles pour les questions suivantes :
Nous pouvons ensuite récupérer la détection du téléphone connecté avec son NOM.
Pour cela, il faut analyser la mémoire afin de pouvoir aller sur la clé USB.
Avec Volatility, il faut dumper l'ensemble des processus, puis analyser les données visuelles via GIMP.
En ouvrant les données brutes (menu Ouvrir → Raw / Image Data), on peut naviguer dans l'aperçu et ajuster les paramètres afin d’obtenir une image exploitable.
Le mot de passe est alors identifiable.
vol -f hiberfil.vmem windows.pslist
Dans notre exemple nous nous trouvons avec le pid 7988 comme vous pouvez le voir sur l'image.
Nous allons donc l'extraire.
mkdir extracted_files
vol -f hiberfil.vmem -o extracted_files windows.memmap --pid 7988 --dump
Dans notre cas on se retrouve avec un RGB16bit
Gimp > raw image data> 1085x127031
Mais nous pouvons avoir mieux avec un RGB8bit
Faire pareil que dessus mais avec WinRAR.
Une fois le mot de passe découvert, on peut extraire le contenu de l’archive et compter le nombre de fichiers présents.