DIGITAL FORENSICS:RETRIEVE THE HOSTNAME FROM A MEMORY DUMP

DIGITAL FORENSICS:Retrieve the hostname from a memory dump

วันนี้เรามาหา  Computer name จาก memory dump มี lab ให้ทดลองทำครับ

This tutorial explains how to retrieve the hostname of the machine from which the memory dump has been taken.

Memory Forensics Lab

- Download Memory

-Volatility Framework 2.6.1

First, we want to get the profile:

 .\volatility.exe --plugins="C:\Users\AAA\Downloads\VolatilityWorkbench-v2.1\profiles" --filename="F:\18 Computer Forensics\CTF\Hackfest.tn\Q1\MEM\lab.raw" imageinfo

Then, we dump the hives to get the offset of the ones where we will find the hostname:

.\volatility.exe --plugins="C:\Users\AAA\Downloads\VolatilityWorkbench-v2.1\profiles" --filename="F:\18 Computer Forensics\CTF\Hackfest.tn\Q1\MEM\lab.raw" --profile=Win7SP1x64_23418 --kdbg=0xf80002846070 hivelist

Now, let's dump the registry key where the hostname will be revealed:

 .\volatility.exe --plugins="C:\Users\AAA\Downloads\VolatilityWorkbench-v2.1\profiles" --filename="F:\18 Computer Forensics\CTF\Hackfest.tn\Q1\MEM\lab.raw" --profile=Win7SP1x64_23418 --kdbg=0xf80002846070 printkey -o 0xfffff8a000024010 -K 'ControlSet001\Control\ComputerName\ComputerName'

Ref:

https://ctf.hackfest.tn/categories/computer-forensics

https://www.aldeid.com/wiki/Volatility/Retrieve-hostname
https://www.aldeid.com/wiki/Volatility#connections

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD