Forensic
Forensic - Les premiers pas
Bonjour,
Je ne sais comment vous le dire. Juste au moment où j’allais m’y mettre au Forensic vous avez ajouté ces challeges ! Excellente coïncidence !
Bref venons en aux faits. Je voulais savoir s’il y a une certaine documentation qui me permettrai de me lancer dans ce domaine. Je veux dire je pars du 0. Même si j’ai déjà eu à faire avec "Syslog" et "Syslog-ng" ainsi que pas mal de logs des différents équipements réseau, je ne m’y prenais pas avec un point de vu sécurité.
Merci pour cette bonne initiative.
Forensic - Les premiers pas
Pour le Forensic tu te pencheras plutot sur de la recherche d’info dans differents document (principalement un dump memoire pour les challenges ici).
Apres, les outils necessaire ne sont pas les memes pour chaques epreuves, il n’y a pas un seul outil qui fera tout pour toi. Jette un coup d’oeil aux ressources associes et tu devrais avoir de quoi faire une bonne partie des challenges.
Bon courage ! ;)
Forensic - Les premiers pas
Meyo tu dis avoir des soucis avec Volatility, ca serais pas dans l’installation/utilisation ? ^^’ ca fais maintenant une belle semaine que je tente de l’installer,de le réinstaller, sur un debian, un ubuntu et meme un windows ! et j’arrive a rien du tout :/ Il n’y a vraiment que ce tool pour faire du forensic au niveau d’un dump memoire ? ou est ce qu’il y a un autre qui serait plus sympatique ce volatility ?
Forensic - Les premiers pas
Bonjour,
euh...comment dirai-je ? j’ai au fait réussit 4 challenges :) j’ai pris mon mal en patience et j’ai fait avec ce que j’avais.
Pour faire, prends la version "Stand Alone" et je crois que tu as déjà python sur ta machine (le 2.7 ou 3.3). Bref c’est mieux. Si non PM moi.
M3µ0.
Forensic - Les premiers pas
ca fais maintenant une belle semaine que je tente de l’installer,de le réinstaller, sur un debian, un ubuntu et meme un windows ! et j’arrive a rien du tout
Tu peux telecharger volatility ici et le lancer directement sans d’autres installation (sous reserve que tu ai python sur ta becane).
Forensic - Les premiers pas
Bonjour,
Je vais vous donner un exemple de commande (la première qu’on fait ;) ) :
Sous Windows : .\volatility.exe -f .\ch2.dmp imageinfo
Sous Linux : python ./volatility.py -f ./ch2.dmp imageinfo
c’est ça donne une quelconque réponse du genre :
Volatile Systems Volatility Framework 2.1_alpha
Determining profile based on KDBG search...
Suggested Profile(s) : Win7SP0x64, Win7SP1x64, Win2008R2SP0x64, Win2008R2SP1x64
AS Layer1 : AMD64PagedMemory (Kernel AS)
AS Layer2 : FileAddressSpace (/Users/Michael/Desktop/win7_trial_64bit.raw)
PAE type : PAE
DTB : 0x187000L
KDBG : 0xf80002803070
Number of Processors : 1
Image Type (Service Pack) : 0
KPCR for CPU 0 : 0xfffff80002804d00L
KUSER_SHARED_DATA : 0xfffff78000000000L
Image date and time : 2012-02-22 11:29:02 UTC+0000
Image local date and time : 2012-02-22 03:29:02 -0800
ceci n’a rien à voir avec les challenges, je l’ai tiré d’ici : http://code.google.com/p/volatility/wiki/CommandReference23#imageinfo
d’ailleurs c’est ce que je t’avais dit de lire. C’est long et c’est chiant et ça casse les pieds avec les longues pages en anglais mais tout y est ;)
M.
Forensic - Les premiers pas
Hahaha Tout d’abord merci a vous pour vos reponses :D
Bon j’ai lu tout ce que vous m’avez dit, j’ai fais tout bien sagement et voila ce que je prend :
_
_
shoxx@ServDebian : /Bureau/volatili$ python ./vol.py -f ./ch2.dmp pslist —profile=Win7SP1x86
Volatile Systems Volatility Framework 2.2
No suitable address space mapping found
Tried to open image as :
LimeAddressSpace : lime : need base
WindowsHiberFileSpace32 : No base Address Space
WindowsCrashDumpSpace64 : No base Address Space
WindowsCrashDumpSpace32 : No base Address Space
AMD64PagedMemory : No base Address Space
JKIA32PagedMemory : No base Address Space
JKIA32PagedMemoryPae : No base Address Space
IA32PagedMemoryPae : Module disabled
IA32PagedMemory : Module disabled
LimeAddressSpace : Invalid Lime header signature
WindowsHiberFileSpace32 : No xpress signature found
WindowsCrashDumpSpace64 : Header signature invalid
WindowsCrashDumpSpace32 : Header signature invalid
AMD64PagedMemory : Incompatible profile Win7SP1x86 selected
JKIA32PagedMemory : Failed valid Address Space check
JKIA32PagedMemoryPae : Failed valid Address Space check
IA32PagedMemoryPae : Module disabled
IA32PagedMemory : Module disabled
FileAddressSpace : Must be first Address Space
_
_
Gniark Gniark Gniark ! Volatility ne veut pas de moi ? :(
Forensic - Les premiers pas
Il se trouve qu’en extrayant qu’une fois le fichier de celui du chall on peut avoir le imageinfo ! ( WTF ? :o )
Bon j’ai extrait une 2eme fois, et j’ai réussi a finir le chall, tres interessant ce petit volatility quand on sait le faire marcher x)
Merci a tous :)
Forensic - Les premiers pas
Bonjour,
J’ai le même message d’erreur ShoxX. Sauf que je les des le lance de volatility :
vol -l ch2.dmp imageinfo
Volatility Foundation Volatility Framework 2.3.1
No suitable address space mapping found
Tried to open image as :
MachOAddressSpace : mac : need base
LimeAddressSpace : lime : need base
WindowsHiberFileSpace32 : No base Address Space
WindowsCrashDumpSpace64 : No base Address Space
HPAKAddressSpace : No base Address Space
VirtualBoxCoreDumpElf64 : No base Address Space
VMWareSnapshotFile : No base Address Space
WindowsCrashDumpSpace32 : No base Address Space
AMD64PagedMemory : No base Address Space
IA32PagedMemoryPae : No base Address Space
IA32PagedMemory : No base Address Space
FileAddressSpace : Location is not of file scheme
ArmAddressSpace : No base Address Space
Le probleme vient-il de moi, je n’utiliserai pas corectement volatility ou plus de mon fichier ?
Forensic - Les premiers pas
bonsoir a tous,
voila je me lance dans les challenges forensic, et lorssque j’utilise volatility sur le dump j ai les in fos en utilisant imageinfo en revanche lorsque je veu lister les process j ai la meme erreur que ShoxX....
jai regarde mais je n’arrive pas decompresser le fichier une deuxieme fois....
merci pour votrre aide
Forensic - Les premiers pas
Volatility est buggy donc j’ai du effacer et retapper les parametres.