1. Outils
Après avoir récupéré l'image mémoire (https://www.honeynet.org/challenge2010/downloads/hn_forensics.tgz) et avoir vérifié l'empreinte SHA1 :
[kmaster@adsl challenge3]$ sha1sum hn_forensics.tgz
8178921fd065ad2de9c6738fe062d2b37402c04a hn_forensics.tgz
nous pouvons commencer à analyser le fichier contenu dans l'archive :
[kmaster@adsl challenge3]$ file Bob.vmem
Bob.vmem: data
[kmaster@adsl challenge3]$ du -h Bob.vmem
513M Bob.vmem
Le format de fichier n'est pas connu, ce n'est pas une image mémoire VMWare, mais a priori, une capture mémoire d'un ordinateur ayant 512 Mo de mémoire vive. L'utilisation de hexdump pour afficher le contenu de la mémoire nous révèle quelques informations :
[kmaster@adsl challenge3]$ hexdump -C Bob.vmem |less
00000720 32 e4 8a 56 00 cd 13 eb d6 61 f9 c3 49 6e 76 61 |2..V.....a..Inva|
00000730 6c 69 64 20 70 61 72 74 69 74 69 6f 6e 20 74 61 |lid partition ta|
00000740 00 f8 09 00 00 08 00 00 72 20 6c 6f 61 64 69 6e |........r loadin|
00000750 67 20...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
