Académique Documents
Professionnel Documents
Culture Documents
Dans le premier chapitre, nous avons vu quelques commandes de base pour extraire des
L’option pstree peut s’avérer très utile car elle permettra d’identifier les processus parents
d’un processus en particulier. Ainsi, vous pourrez noter les structures suspectes. Par
exemple, il n'est pas normal qu’un CMD soit un processus fils d’Internet Explorer !
Résultat :
Par exemple, dans notre cas, nous pouvons voir que le processus précédemment identifié
est fils du process avec le PID 3544 correspondant au processus Winword.
3.Affichez les processus cachés avec psxview :
Une autre commande qui peut être utilisée pour lister les processus est psxview. Cette
d’investigation.
Ici, nous pouvons voir qu'une clé autorun a été identifiée et démarre un fichier VBS
dans le répertoire : C:\Users\johnoc\AppData\Local\Temp\krtYMkVgyjNdd.vbs.
nous avons utilisé quelques options du framework Volatility afin de mener notre
analyse du dump mémoire :
il est possible d’utiliser cmdscan, les YARA rules et les plugins pour une
utilisation avancée.
Nous avons identifié plusieurs éléments :