**Volatility - Part 2 : Récupération de mots de passe**

Pour cette deuxième partie , les variables d'environnements de profil et du lien vers le fichier dump mémoire sont déjà définies.

Voici une liste de commandes et plugins vous permettant de récupérer différentes sortes de mots de passe :

__Récupération des hash NTLM windows__

commande **hashdump**

{{ :forensic:hashdump.png?nolink |}}

Nous voici avec les hashs des utilisateurs du système

__Récupération des mots de passe dans le clipboard__

commande **clipboard**

{{ :forensic:clipboard.png?nolink |}}

On retrouve les données qui sont en attente de copie : exemple de copié collé de mot de passe.

__Dump des mots de passes en cache : mimikatz (plugin)__

commande **mimikatz**

{{ :forensic:mimikatz.png?nolink |}}

Nous voici avec les mots de passes des utilisateurs stockés dans le cache

[[https://github.com/sans-dfir/sift-files/blob/master/volatility/mimikatz.py | plugin mimikatz]]

__Récupération de la passphrase truecrypt__

Si le container truecrypt est ouvert la passephrase peut être stockée dans la mémoire.

commande **truecryptpassphrase**

{{ :forensic:truecryptpassphrase.png?nolink |}}

__Récupération de la clé bitlocker (plugin)__

Si le container bitlocker est ouvert la clé est stockée dans la mémoire.

<code>
./vol.py bitlocker

Volatility Foundation Volatility Framework 2.5

Address : 0xfa8009958c10
Cipher  : AES-256
FVEK    : d5b6e71adb0c2e2d38dafdcedade8fc11e8be631b9fed5b2ba5b51ba32a57cd1
TWEAK   : 49f9ecd5ddffcae44cde7f7a578b9a3ca5e79087826779e147de89423ebdf3f3

</code>

[[https://github.com/elceef/bitlocker | plugin bitlocker]]

__Récupération de mots de passe LastPass (plugin)__

commande **lastpass**

<code>
./vol.py lastpass

Volatility Foundation Volatility Framework 2.5
LastPass ResultsChecking Process: chrome.exe (3400)
Checking Process: chrome.exe (3400)
Checking Process: chrome.exe (3400)
Checking Process: chrome.exe (3840)
Checking Process: chrome.exe (3840)

Found LastPass Entry for sainsburys.co.uk
UserName: peters.lastpass
Pasword: mt5xxxxxxxxxzBj
</code>

[[https://github.com/kevthehermit/volatility_plugins/tree/master/lastpass | plugin lastpass]]

Il existe bien d'autres plugins et bien d'autres façon de récupérer des mots de passes.

Exemple pour firefox on peut dumper le profil de l'utilisateur pour en extraire les mots de passes.