1. What time was the RAM image acquired according to the suspect system? (YYYY-MM-DD HH:MM:SS)
Ответ: 2021-04-30 17:52:19
2. What is the SHA256 hash value of the RAM image?
Ответ: 9db01b1e7b19a3b2113bfb65e860fffd7a1630bdf2b18613d206ebf2aa0ea172
3. What is the process ID of "brave.exe"?
Ответ: 4856
4. How many established network connections were there at the time of acquisition? (number)
Ответ: 10
5. What FQDN does Chrome have an established network connection with?
Далее можно воспользоваться сервисом AbuseIPDB.
Ответ: protonmail.ch
6. What is the MD5 hash value of process executable for PID 6988?
Экспорт файла с указанным PID из образа для определения MD5 хеша:
Ответ: 0b493d8e26f03ccd2060e0be85f430af
7. What is the word starting at offset 0x45BE876 with a length of 6 bytes?
Ответ: hacker
8. What is the creation date and time of the parent process of "powershell.exe"? (YYYY-MM-DD HH:MM:SS)
Родительский процесс - explorer.exe.
Ответ: 2021-04-30 17:39:48
9. What is the full path and name of the last file opened in notepad?
Ответ: C:\Users\JOHNDO~1\AppData\Local\Temp\7zO4FB31F24\accountNum
10. How long did the suspect use Brave browser? (hh:mm:ss)
Ключ UserAssist содержит информацию об общем времени в секундах, в течение которого приложение находилось в фокусе.
Ответ: 04:01:54
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.info
Ответ: 2021-04-30 17:52:19
2. What is the SHA256 hash value of the RAM image?
sha256sum 20210430-Win10Home-20H2-64bit-memdump.mem
Ответ: 9db01b1e7b19a3b2113bfb65e860fffd7a1630bdf2b18613d206ebf2aa0ea172
3. What is the process ID of "brave.exe"?
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.pstree
Ответ: 4856
4. How many established network connections were there at the time of acquisition? (number)
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.netscan | grep "ESTABLISHED"
Ответ: 10
5. What FQDN does Chrome have an established network connection with?
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.netscan | grep "chrome"
Далее можно воспользоваться сервисом AbuseIPDB.
Ответ: protonmail.ch
6. What is the MD5 hash value of process executable for PID 6988?
Экспорт файла с указанным PID из образа для определения MD5 хеша:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.pslist --pid 6988 --dump md5sum pid.6988.0x1c0000.dmp
Ответ: 0b493d8e26f03ccd2060e0be85f430af
7. What is the word starting at offset 0x45BE876 with a length of 6 bytes?
xxd --seek 0x45BE876 20210430-Win10Home-20H2-64bit-memdump.mem | less
Ответ: hacker
8. What is the creation date and time of the parent process of "powershell.exe"? (YYYY-MM-DD HH:MM:SS)
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.pstree
Родительский процесс - explorer.exe.
Ответ: 2021-04-30 17:39:48
9. What is the full path and name of the last file opened in notepad?
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.cmdline | grep "notepad"
Ответ: C:\Users\JOHNDO~1\AppData\Local\Temp\7zO4FB31F24\accountNum
10. How long did the suspect use Brave browser? (hh:mm:ss)
Ключ UserAssist содержит информацию об общем времени в секундах, в течение которого приложение находилось в фокусе.
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.registry.userassist | grep "Brave"
Ответ: 04:01:54
Последнее редактирование:
