Outils pour utilisateurs
Volatility - Part 2 : Récupération de mots de passe
Pour cette deuxième partie , les variables d'environnements de profil et du lien vers le fichier dump mémoire sont déjà définies.
Voici une liste de commandes et plugins vous permettant de récupérer différentes sortes de mots de passe :
Récupération des hash NTLM windows
commande hashdump
Nous voici avec les hashs des utilisateurs du système
Récupération des mots de passe dans le clipboard
commande clipboard
On retrouve les données qui sont en attente de copie : exemple de copié collé de mot de passe.
Dump des mots de passes en cache : mimikatz (plugin)
commande mimikatz
Nous voici avec les mots de passes des utilisateurs stockés dans le cache
Récupération de la passphrase truecrypt
Si le container truecrypt est ouvert la passephrase peut être stockée dans la mémoire.
commande truecryptpassphrase
Récupération de la clé bitlocker (plugin)
Si le container bitlocker est ouvert la clé est stockée dans la mémoire.
./vol.py bitlocker Volatility Foundation Volatility Framework 2.5 Address : 0xfa8009958c10 Cipher : AES-256 FVEK : d5b6e71adb0c2e2d38dafdcedade8fc11e8be631b9fed5b2ba5b51ba32a57cd1 TWEAK : 49f9ecd5ddffcae44cde7f7a578b9a3ca5e79087826779e147de89423ebdf3f3
Récupération de mots de passe LastPass (plugin)
commande lastpass
./vol.py lastpass Volatility Foundation Volatility Framework 2.5 LastPass ResultsChecking Process: chrome.exe (3400) Checking Process: chrome.exe (3400) Checking Process: chrome.exe (3400) Checking Process: chrome.exe (3840) Checking Process: chrome.exe (3840) Found LastPass Entry for sainsburys.co.uk UserName: peters.lastpass Pasword: mt5xxxxxxxxxzBj
Il existe bien d'autres plugins et bien d'autres façon de récupérer des mots de passes.
Exemple pour firefox on peut dumper le profil de l'utilisateur pour en extraire les mots de passes.
Outils de la page
