On lance python ~/volatility~/vol.py -f fcsc envars
En faisant un grep :
- sur COMPUTERNAME : on obtient le nom de l'ordinateur 7516 svchost.exe 0x29bf9603310 COMPUTERNAME DESKTOP-PI234GP
- sur USERPROFILE : on obtient un compte intéressant lançant un navigateur 4072 brave.exe 0x1c78b981c80 USERPROFILE C:\Users\Admin
FCSC{Admin:DESKTOP-PI234GP:Brave}
Fichier secret -> capture mem?
pslist donne:
1484 : Memcompression?
dump: