--- title: exercice 3 tags: FIC --- flags: - donner les PID des programmes suspects - donner le nom du processus parent - quel est le nom du dll injecté: ext_server_priv.x64 - quel est le nom du programme utilisé par l'attaquant: meterpreter outil utilisé pour le DUMP: dumpIT trouver le profil du dump: ``` python2 vol.py -f mem.raw imageinfo ``` utiliser le module pslist pour les lister les processuss ``` python2 vol.py -f mem.raw pslist --profile=Win10x64_18362 ``` utiliser le module malfind pour extraire les programmes injecté: ``` python2 vol.py -f mem.raw malfind --profile=Win10x64_18362 -D ./malfind/ ``` utiliser strings pour analyser les dumps et trouver le DLL injecté ``` strings -a -n 6 *.dmp | grep 'priv' ```