Skip to main content

nagib

root@DESKTOP-BPQ10UP:~/volatility# ./vol.py -f ./raw/ram.raw imageinfo

image.png

root@DESKTOP-BPQ10UP:~/volatility# ./vol.py --profile=Win10x64_19041 -f raw/ram.raw  p

Afin de trouver des PID intéressant a exploiter
root@DESKTOP-BPQ10UP:~/volatility# ./vol.py --profile=Win10x64_19041 -f raw/ram.raw sessions

image.png

image.png

---> ICI ON TROUVE EXPLORER 3264


Examinez les variables d'environnement des processus utilisateur comme explorer.exe (PID 3264)
./vol.py --profile=Win10x64_19041 -f raw/ram.raw envars -p 3264

image.png

USER = cyberdog

image.png

Nom ordinateur = DESKTOP-N4OM1FH

Trouver la version de l'OS : 
./vol.py --profile=Win10x64_19041 -f raw/ram.raw kdbgscan

image.png

sortie :

  • Le système est bien "Win10x64_19041" (Windows 10 64-bit)
  • Service Pack: 0
  • Build string: "19041.1.amd64fre.vb_release.1912"

Cela correspond à Windows 10 version 2004 (également connue sous le nom de "May 2020 Update"). Le nombre "19041" est la build exacte de Windows 10, et l'architecture est 64-bit (amd64).

 

 

 

 

 

 

 

 


EN PLUS 
application : keylogger[backspace]?action=add&username=\pctotaldefender\sqlite3.dllsoftware\microsoft\windows\currentversion\runprocess monitor - sysinternals: www.sysinternals.com

Back to top