[Forensic] [Hackropole] - Analyse mémoire - Pour commencer (2/2)

6NdR6NdR
2 min read

Source et énoncé du CTF

https://hackropole.fr/en/challenges/forensics/fcsc2025-forensics-analyse-memoire-2/

Write-up

Un document était en cours d'édition au moment du dump mémoire. On cherche à déterminer les deux informations suivantes à partir du dump mémoire fourni par l'énoncé :

  • Le nom du logiciel ayant servi à éditer le document
  • Le nom du document en cours d'édition

La commande suivante utilise le module windows.pslist qui permet d'afficher les processus actifs dans le dump mémoire :

volatility3 -f analyse-memoire.dmp windows.pslist

En regardant la sortie de la commande et en cherchant un nom de processus pouvant correpondre à un logiciel d'édition de texte, on remarque le processus soffice.exe. Après quelques recherches, on constate que cet exécutable est utilisé comme lanceur principal de LibreOffice/OpenOffice. Il peut charger différents composants : Writer, Calc, Impress, Draw, Base, Math.

Les formats de fichiers correspondants à soffice.exe sont les suivants :

Type de fichierExtensionsDescription
Texte (Writer).odt, .doc, .docx, .txt, .rtfDocuments texte
Tableur (Calc).ods, .xls, .xlsx, .csvFeuilles de calcul
Présentation (Impress).odp, .ppt, .pptxDiapositives
Dessin (Draw).odg, .svg, .vsd, .pdfDessins vectoriels
Base de données (Base).odbBases de données
Formules (Math).odf, .smfÉquations/formules mathématiques
Modèles.ott, .ots, .otp, .otg, etc.Modèles de document

Le plugin windows.handles permet de lister les fichiers ouverts au moment de la réalisation du dump mémoire. Le problème est que ma commande suivante affiche trop de sorties :

volatility3 -f analyse-memoire.dmp windows.handles

Il nous faut donc trier la sortie selon le type "file" (pour ne garder que les fichiers) et selon l'extension du fichier recherché (le nom du fichier apparaissant dans la sortie du plugin windows.handles et le nom du fichier contient l'extension du fichier).

La commande suivante donnera le fichier recherché :

volatility3 -f analyse-memoire.dmp windows.handles | grep -i file | grep -i odt

Flag

FCSC{soffice.exe:[SECRET-SF][TLP-RED]Plan FCSC 2026.odt}

0
Subscribe to my newsletter

Read articles from 6NdR directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Written by

6NdR
6NdR