nagib
root@DESKTOP-BPQ10UP:~/volatility# ./vol.py -f ./raw/ram.raw imageinfo
root@DESKTOP-BPQ10UP:~/volatility# ./vol.py --profile=Win10x64_19041 -f raw/ram.raw p
Afin de trouver des PID intéintéressant a exploiter
root@DESKTOP-BPQ10UP:~/volatility# ./vol.py --profile=Win10x64_19041 -f raw/ram.raw sessions
---> ICI ON TROUVE EXPLORER 3264
Examinez les variables d'environnement des processus utilisateur comme explorer.exe (PID 3264)
./vol.py --profile=Win10x64_19041 -f raw/ram.raw envars -p 3264
USER = cyberdog
Nom ordinateur = DESKTOP-N4OM1FH
Trouver la version de l'OS :
./vol.py --profile=Win10x64_19041 -f raw/ram.raw kdbgscan
sortie :
- Le
systèsystème est bien "Win10x64_19041" (Windows 10 64-bit) - Service Pack: 0
- Build string: "19041.1.amd64fre.vb_release.1912"
Cela correspond àà Windows 10 version 2004 (éégalement connue sous le nom de "May 2020 Update"). Le nombre "19041" est la build exacte de Windows 10, et l'architecture est 64-bit (amd64).
Pour vévérifier si Windows Defender est actif dans l'image mémémoire, vous pouvez examiner plusieurs aspects :
VéVérifiez les processusliéliésàà Windows Defender :
./vol.py --profile=Win10x64_19041 -f raw/ram.raw pslist | grep -i "defender\|msmp"
D'aprèaprès votre sortie du plugin sessions partagépartagée précéprécédemment, je vois déjàdéjà que le processus MsMpEng.exe (PID 2476) est en cours d'exéexécution. C'est le service principal de Windows Defender, donc cela indique qu'il est probablement actif.
VéVérifiez les services Windowsliéliésàà Windows Defender :
./vol.py --profile=Win10x64_19041 -f raw/ram.raw svcscan | grep -i "defender\|msmp\|wdfilter\|windefend"
3 : Examinez les cléclés de registre liéliées àà Windows Defender pour voir sa configuration :
./vol.py --profile=Win10x64_19041 -f raw/ram.raw printkey -K "Microsoft\Windows Defender"
4/ Vous pouvez éégalement examiner les processus SecurityHealthService qui sont aussi liéliés àà Windows Defender dans les versions rérécentes de Windows 10 :
./vol.py --profile=Win10x64_19041 -f raw/ram.raw pslist | grep -i "securityhealth"
Je remarque éégalement dans vos donnédonnées de session que SecurityHealth est en cours d'exéexécution (PID 788 et 4172), ce qui est un autre indicateur que Windows Defender est probablement actif.
La préprésence des processus MsMpEng.exe et SecurityHealth suggèsuggère fortement que Windows Defender éétait actif au moment de la capture mémémoire, mais une analyse plus approfondie avec les commandes ci-dessus vous donnera plus de dédétails sur sa configuration exacte.
---------
aprèaprès votre analyse, il est clair que Windows Defender est actif sur le systèsystème. Voici plusieurs indicateurs qui le confirment :
La valeur "ProductStatus : 0" dans le registre pourrait indiquer un statut spéspécifique, mais la préprésence de tous les processus actifs et des services en fonctionnement confirme que Windows Defender est bien activéactivé et opéopérationnel sur le systèsystème au moment de la capture mémémoire.
Cette information peut êêtre importante dans votre analyse forensique car elle indique que le systèsystème disposait d'une protection antivirus active, ce qui pourrait influencer votre éévaluation des risques ou l'analyse d'un ééventuel incident de sécuritésécurité.
EN PLUS
application : keylogger[backspace]?action=add&username=\pctotaldefender\sqlite3.dllsoftware\microsoft\windows\currentversion\runprocess monitor - sysinternals: www.sysinternals.com