Forensic

samedi 16 février 2013, 23:36  #1
Forensic - Les premiers pas
Meyo
Meyo
  • 51 posts

Bonjour,
Je ne sais comment vous le dire. Juste au moment où j’allais m’y mettre au Forensic vous avez ajouté ces challeges ! Excellente coïncidence !
Bref venons en aux faits. Je voulais savoir s’il y a une certaine documentation qui me permettrai de me lancer dans ce domaine. Je veux dire je pars du 0. Même si j’ai déjà eu à faire avec "Syslog" et "Syslog-ng" ainsi que pas mal de logs des différents équipements réseau, je ne m’y prenais pas avec un point de vu sécurité.
Merci pour cette bonne initiative.

mardi 19 février 2013, 19:25  #2
Forensic - Les premiers pas
Mawu3n4
Mawu3n4
  • 48 posts

Pour le Forensic tu te pencheras plutot sur de la recherche d’info dans differents document (principalement un dump memoire pour les challenges ici).
Apres, les outils necessaire ne sont pas les memes pour chaques epreuves, il n’y a pas un seul outil qui fera tout pour toi. Jette un coup d’oeil aux ressources associes et tu devrais avoir de quoi faire une bonne partie des challenges.
Bon courage ! ;)

jeudi 21 février 2013, 11:32  #3
Forensic - Les premiers pas
Meyo
Meyo
  • 51 posts

Bonjour,
Merci pour votre réponse. En effet j’ai déjà compris qu’il faut dénicher l’info utile dans les fichiers "dump" ! Sauf que j’ai un petit souci avec "volatility" et j’essaie de m’y faire.
Bref merci pour votre réponse.

mercredi 27 mars 2013, 17:33  #4
Forensic - Les premiers pas
ShoxX
ShoxX
  • 20 posts

Meyo tu dis avoir des soucis avec Volatility, ca serais pas dans l’installation/utilisation ? ^^’ ca fais maintenant une belle semaine que je tente de l’installer,de le réinstaller, sur un debian, un ubuntu et meme un windows ! et j’arrive a rien du tout :/ Il n’y a vraiment que ce tool pour faire du forensic au niveau d’un dump memoire ? ou est ce qu’il y a un autre qui serait plus sympatique ce volatility ?

jeudi 28 mars 2013, 18:06  #5
Forensic - Les premiers pas
Meyo
Meyo
  • 51 posts

Bonjour,
euh...comment dirai-je ? j’ai au fait réussit 4 challenges :) j’ai pris mon mal en patience et j’ai fait avec ce que j’avais.
Pour faire, prends la version "Stand Alone" et je crois que tu as déjà python sur ta machine (le 2.7 ou 3.3). Bref c’est mieux. Si non PM moi.
M3µ0.

vendredi 29 mars 2013, 15:29  #6
Forensic - Les premiers pas
Mawu3n4
Mawu3n4
  • 48 posts

ca fais maintenant une belle semaine que je tente de l’installer,de le réinstaller, sur un debian, un ubuntu et meme un windows ! et j’arrive a rien du tout

Tu peux telecharger volatility ici et le lancer directement sans d’autres installation (sous reserve que tu ai python sur ta becane).

vendredi 29 mars 2013, 16:06  #7
Forensic - Les premiers pas
Meyo
Meyo
  • 51 posts

Bonjour,
Je vais vous donner un exemple de commande (la première qu’on fait ;) ) :
Sous Windows : .\volatility.exe -f .\ch2.dmp imageinfo
Sous Linux : python ./volatility.py -f ./ch2.dmp imageinfo
c’est ça donne une quelconque réponse du genre :

Volatile Systems Volatility Framework 2.1_alpha
Determining profile based on KDBG search...
Suggested Profile(s) : Win7SP0x64, Win7SP1x64, Win2008R2SP0x64, Win2008R2SP1x64
AS Layer1 : AMD64PagedMemory (Kernel AS)
AS Layer2 : FileAddressSpace (/Users/Michael/Desktop/win7_trial_64bit.raw)
PAE type : PAE
DTB : 0x187000L
KDBG : 0xf80002803070
Number of Processors : 1
Image Type (Service Pack) : 0
KPCR for CPU 0 : 0xfffff80002804d00L
KUSER_SHARED_DATA : 0xfffff78000000000L
Image date and time : 2012-02-22 11:29:02 UTC+0000
Image local date and time : 2012-02-22 03:29:02 -0800

ceci n’a rien à voir avec les challenges, je l’ai tiré d’ici : http://code.google.com/p/volatility/wiki/CommandReference23#imageinfo
d’ailleurs c’est ce que je t’avais dit de lire. C’est long et c’est chiant et ça casse les pieds avec les longues pages en anglais mais tout y est ;)
M.

mercredi 3 avril 2013, 17:17  #8
Forensic - Les premiers pas
ShoxX
ShoxX
  • 20 posts

Hahaha Tout d’abord merci a vous pour vos reponses :D
Bon j’ai lu tout ce que vous m’avez dit, j’ai fais tout bien sagement et voila ce que je prend :
_
_
shoxx@ServDebian : /Bureau/volatili$ python ./vol.py -f ./ch2.dmp pslist —profile=Win7SP1x86
Volatile Systems Volatility Framework 2.2
No suitable address space mapping found
Tried to open image as :
LimeAddressSpace : lime : need base
WindowsHiberFileSpace32 : No base Address Space
WindowsCrashDumpSpace64 : No base Address Space
WindowsCrashDumpSpace32 : No base Address Space
AMD64PagedMemory : No base Address Space
JKIA32PagedMemory : No base Address Space
JKIA32PagedMemoryPae : No base Address Space
IA32PagedMemoryPae : Module disabled
IA32PagedMemory : Module disabled
LimeAddressSpace : Invalid Lime header signature
WindowsHiberFileSpace32 : No xpress signature found
WindowsCrashDumpSpace64 : Header signature invalid
WindowsCrashDumpSpace32 : Header signature invalid
AMD64PagedMemory : Incompatible profile Win7SP1x86 selected
JKIA32PagedMemory : Failed valid Address Space check
JKIA32PagedMemoryPae : Failed valid Address Space check
IA32PagedMemoryPae : Module disabled
IA32PagedMemory : Module disabled
FileAddressSpace : Must be first Address Space
_
_
Gniark Gniark Gniark ! Volatility ne veut pas de moi ? :(

jeudi 4 avril 2013, 10:01  #9
Forensic - Les premiers pas
Mawu3n4
Mawu3n4
  • 48 posts

Edit : Le dump a ete compresse deux fois (bz2 et tar)

jeudi 4 avril 2013, 12:56  #10
Forensic - Les premiers pas
Meyo
Meyo
  • 51 posts

J’allais dire à peu près la même chose. ton dump devrait être pas net ! Essaie avec un autre jusqu’à obtenir la même réponse à la commande "imageinfo" que j’ai posté en haut (à quelques changements près).

jeudi 4 avril 2013, 15:42  #11
Forensic - Les premiers pas
ShoxX
ShoxX
  • 20 posts

Il se trouve qu’en extrayant qu’une fois le fichier de celui du chall on peut avoir le imageinfo ! ( WTF ? :o )
Bon j’ai extrait une 2eme fois, et j’ai réussi a finir le chall, tres interessant ce petit volatility quand on sait le faire marcher x)
Merci a tous :)

vendredi 5 avril 2013, 12:40  #12
Forensic - Les premiers pas
Meyo
Meyo
  • 51 posts

Bonjour, c’est bien alors ! bonne chance pour le reste.

mercredi 11 février 2015, 15:03  #13
Forensic - Les premiers pas
Cuv3
Cuv3
  • 1 posts

Bonjour,

J’ai le même message d’erreur ShoxX. Sauf que je les des le lance de volatility :

vol -l ch2.dmp imageinfo

Volatility Foundation Volatility Framework 2.3.1
No suitable address space mapping found
Tried to open image as :
MachOAddressSpace : mac : need base
LimeAddressSpace : lime : need base
WindowsHiberFileSpace32 : No base Address Space
WindowsCrashDumpSpace64 : No base Address Space
HPAKAddressSpace : No base Address Space
VirtualBoxCoreDumpElf64 : No base Address Space
VMWareSnapshotFile : No base Address Space
WindowsCrashDumpSpace32 : No base Address Space
AMD64PagedMemory : No base Address Space
IA32PagedMemoryPae : No base Address Space
IA32PagedMemory : No base Address Space
FileAddressSpace : Location is not of file scheme
ArmAddressSpace : No base Address Space

Le probleme vient-il de moi, je n’utiliserai pas corectement volatility ou plus de mon fichier ?

mardi 17 février 2015, 13:18  #14
Forensic - Les premiers pas
_plo_
_plo_
  • 1 posts

Cuve, tu devrais plutôt essayer avec l’option -f « path/to/dmp » comme l’a indiqué Meyo dans son post !

dimanche 8 novembre 2015, 00:34  #15
Forensic - Les premiers pas
lamenoire
lamenoire
  • 1 posts

bonsoir a tous,
voila je me lance dans les challenges forensic, et lorssque j’utilise volatility sur le dump j ai les in fos en utilisant imageinfo en revanche lorsque je veu lister les process j ai la meme erreur que ShoxX....
jai regarde mais je n’arrive pas decompresser le fichier une deuxieme fois....

merci pour votrre aide

lundi 14 mars 2016, 20:21  #16
Forensic - Les premiers pas
tethys
tethys
  • 10 posts

Volatility est buggy donc j’ai du effacer et retapper les parametres.

Nouvelle réponse Nouvelle réponse   Nouveau sujet Nouveau sujet