Memdump (dump process memory)

volatility3

Je suis parti a Prague en République Tchèque pour la fin du mois d’octobre. Je sentais que j’avais besoin de voir autre chose et de me lancer tout seul dans quelque chose. Je suis donc parti seul, 9 jours à Prague dans un auberge de jeunesse pour voir ce que ça faisait d’être un peu tout seul. C’était la première fois que je partais seul en vacances, ce qui m’a plutôt réussi à vrai dire.

Dans le cadre d’une investigation forensic, nous sommes parfois confrontés à devoir créer un profil Volatilty2 ou Volatility3 pour analyser un dump Linux selon nos besoins. Ici nous verrons plusieurs manières de créer un profil, d’abord avec un docker dans une machine virtuelle Linux quelconque, puis sur la machine possédant la même version de noyau que le dump auquel nous devons faire face.

La société Cravatech a été compromise, un flag secret a pu être exfiltré de leur système. Des premières investigations, le coupable aurait utilisé le système de messagerie.

I was going to create this extremely easy forensics challenge for you, but accidentally used the flag as the password when I encrypted the archive. This flag is now deleted, and since it is not possible to brute-force it, I guess that means this challenge can no longer be solved, or can it?