Extraire la clé de chiffrement de volume de Bitlocker sous Volatility

Ce plugin pour l’environnement Volatility, qu’on ne présente plus peut vous permettre d’extraire la clé de chiffrement de volume de Bitlocker (FVEK) depuis la mémoire du système d’exploitation ou les fichiers de mise en veille prolongée.

Les systèmes supportés sont pour l’instant : Windows 10 (en cours), Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista

téléchargement sur github : https://github.com/elceef/bitlocker

Visite d’un datacenter de Google (360 degres)

Pour ceux qui ne connaissent pas l’univers des Datacenters, je vous invite à visiter celui de Google, le tout à 360° (ça ne fonctionne pas sous Safari, utilisez plutôt chrome et changez d’angle au drag and drop de souris).

Je vous conseille notamment la séquence à 5mn02 où Google vous montre ce qu’est vraiment un nettoyage de disque dur 😉

Pour rappel, même en cas de panne d’un disque dur, il est en effet primordial de ne pas juste le jeter dans la première poubelle venue. Une destruction du disque ou à minima des données qu’il contient est le seul moyen de préserver la confidentialité de celles-ci.

Bonne visite

Rechercher les traces de meterpreter en mémoire avec Volatility

Désireux de voir si il est possible de mettre en évidence, au niveau forensic, la compromission d’une machine par l’intermédiaire de metasploit, je me suis penché sur la question.

La recherche de traces en mémoire de meterpreter est assez ardue car le processus peut migrer dans des processus annexes étant déjà en cours d’exécution sur la machine, ou en lançant des processus fils.

Poursuivant mes recherches, je suis tombé sur un article fort intéressant que je voulais partager avec vous. Pour ceux qui veulent « mettre les mains dans le cambouis », je vous conseille la lecture de ce document et la mise en pratique en mettant en place le lab requis.

Des machines virtuelles oui, mais des écrans c’est mieux

Le nez dans les lignes de commandes et dans le code hexa c’est bien. Mais on a quelquefois besoin d’une bouffée d’oxygène.

Je voulais partager avec vous mon « setup » de travail, qui me permet de m’aérer même focalisé sur mon travail quotidien.

monitorssetup

Grace à mon macbook pro, qui me permet de brancher 2 écrans externes, j’ai un peu de place pour travailler.

On ajoute à ça un casque bose QC15 à compensation de bruit, et les conditions de concentration sont optimales, même quand les serveurs tournent dans la pièce ou que les NAS s’enflamment 😉

Désactiver la mise à jour windows 10

Si comme moi vous utilisez windows 8.1 vous avez dû remarquer que ce système d’exploitation vous incite lourdement, voire très lourdement à faire votre mise à jour vers windows 10.

Si ça n’est pas votre souhait, et que également comme moi, vous souhaitez demeurer sous windows 8, cette petite astuce vous permettra de désactiver la notification de mise à jour incessante à côté de l’heure dans les barre des taches.