Académique Documents
Professionnel Documents
Culture Documents
Les données de traitement d'un ordinateur sont toujours stockées dans la mémoire
RAM (Random Access Memory) car elle possède un temps d'accès beaucoup plus
faible que la mémoire disque.
Lors d’une analyse forensic, l’étude de l’image mémoire d’un système avec des outils
spécifiques peut s’avérer utile, car elle permettra d’extraire des informations
difficilement exploitables lorsque le système est en fonctionnement. C’est ce
qui vous permettra de comprendre quelles actions ont été effectuées.
NB :
Dans notre situation, nous savons que l'infection est survenue à la suite de l'ouverture
d'une pièce jointe reçue par email. Il faudra alors orienter nos recherches dans cette
direction et identifier si un logiciel malveillant a été exécuté, et de quelle manière.
Volatility peut être téléchargé sur le site de Volatility Foundation. Il existe une version
pour Windows, Mac et Linux. Dans votre machine d’analyse SIFT, Volatility est
préinstallé !
commande volatility -h pour afficher les options disponibles (le retour de cette
données pour en extraire les informations pertinentes. Le wiki du projet Volatility présente
chaque option.
Pour cela, nous allons utiliser l'option ImageInfo de Volatility sur notre dump mémoire avec la
un espace d'adressage
s'exécutent sur un système et analyser les données stockées dans leur espace d'adressage.
Dans notre cas par exemple, nous pouvons voir les différents processus système en
cours d'exécution tels que smss.exe, winlogon.exe ou encore services.exe. En
revanche, le processus rfhyMVOQxfc.exe semble suspect, à cause de son nom avec
des lettres aléatoires !
3.Listez les DLL d'un processus :
Les DLL, pour Dynamic Link Library, sont les librairies dans Windows. Ce sont
Un logiciel malveillant va également utiliser ces API pour effectuer des actions
sur le système. Via l’analyse mémoire, il sera possible de lister les DLL utilisées par
Avec Volatility, il est possible d’extraire les DLL utilisées pour un processus donné,
avec l’option dlllist. Par exemple, pour le processus avec le PID 1808 que nous
pas commun. Ce qui nous donne des indices pour notre investigation.
4. Analysez le registre
En outre, le registre Windows détient une mine d'informations utiles à des fins
d’analyses. Par exemple, il sera possible de déterminer les programmes
récemment exécutés, d’extraire les hash de mots de passe à des fins d'audit, ou
encore d'étudier les clés et les valeurs introduites par un code malveillant dans
le système.
Avec Volatility, il est possible d’extraire les informations du registre et de lister les fichiers
correspondants avec l’option hivelist
Avec ces informations et l’option hashdump, il sera possible de dumper les hash des mots
de passe des comptes Windows.
Presque tous les logiciels malveillants peuvent communiquer sur le réseau avec
leur serveur de Command et de Control, pour se propager, ou encore pour la mise
en place d’une porte dérobée.
Ces actions utilisent les API réseaux de Windows, ce qui laisse inévitablement des
traces en mémoire. L’analyse mémoire du réseau permettra de recouvrer des
informations telle que des connexions d’IP distantes, les ports de connexion et
même certaines données échangées.
Ici, nous pouvons voir que les processus identifiés effectuent plusieurs connexions vers
l'adresse IP 172.16.169.164:4444.