0x0 Forensic

Tuesday 7 February 2017, 15:58  #1
Forensic - Command & Control - level 3
Trick
  • 3 posts

Bonjour à tous,
Un petit peu d’aide sur ce chall serait la bienvenue. Je dois cibler un malware mais je ne sais pas trop où chercher: j’ai regardé les processus en cours, rien d’anormal, j’ai remarqué quelques PID ayant un PPID non exécuté. J’ai alors récupéré les offset en question pour avoir les .dll utilisés par les processus, mais rien de concluant. J’aurai aimé avoir les connexions réseaux mais Volatility me dit qu’il ne prend pas en charge le profile du .dump. Est-ce que je suis sur la bonne ou mauvaise voie? Un petit indice / direction serait sympa =)

Je vous remercie d’avance!

Wednesday 7 June 2017, 16:55  #2
Forensic - Command & Control - level 3
nicolas
  • 1 posts

Apres avoir un peu tourné en rond deux petites precisions qui je l’espere vous eviteront de perde du temps :
1) le md5 est bien celui du PATH et non pas d’un fichier contenant le PATH
2) un md5 c’est des chiffres et des minuscules et pas comme certain outils ou sites en ligne des chiffres et des majuscules.

bon jeux à tous.