Challenge SSTIC et analyse de la mémoire physique des systèmes Linux
À l'occasion du SSTIC 2010, l'ANSSI a conçu un challenge de forensics. Le but était d'analyser une copie de la mémoire physique (dump) d'un téléphone Android, afin d'y retrouver une adresse e-mail. Plusieurs solutions ont été trouvées pour résoudre ce challenge [SOL{1,2,3,4}]. L'une d'entres elle consiste à reconstituer la mémoire virtuelle de chaque application. Cette étape est certes difficile, mais non nécessaire, et a été contournée par un bon nombre de compétiteurs. En effet, l'outil de référence dans le domaine, Volatility [VY], ne fonctionne que pour les dumps mémoire provenant de Windows XP ; il ne gère pas les systèmes Linux. Cet article présente comment il est néanmoins possible d'y arriver, et détaille l'implémentation de Volatilitux [VUX], outil open source réalisé par l'auteur à cette occasion.