Как читать файл гибернации Windows (hiberfile.представление sys) для извлечения данных?

Мне нужно найти то, что все данные хранятся в файле спящего режима, разбирая его. Однако до сих пор я только manged сделать это вручную, открыв его в шестнадцатеричном редакторе, а затем искать тексты в нем.
Я нашел о библиотеке SandMan, но их нет никаких ресурсов. Есть идеи, как прочитать файл ? Или их любой инструмент / библиотека или другой метод для этого?

14
задан Nifle
20.03.2023 15:48 Количество просмотров материала 3010
Распечатать страницу

3 ответа

вы можете найти много информации об Hiberfil.sys на ForensicWiki страницы.

хотя большинство структур данных, необходимых для анализа формата файла доступно в для Windows отладочные символы, используемые сжатия (Экспресс) нелегалкой, пока она не была обратной инженерии Матье Suiche. Он создал с Николасом Раффом проект под названием Sandman это единственный инструмент с открытым исходным кодом, который может читать и писать окна файл гибернации.

pdf проекта Sandman найден здесь.

создатели проекта Sandman также создали инструмент для дампа памяти и Hiberfil.sys-file (и извлечь его из формата сжатия XPress). Moonsols Windows Memory Toolkit

другие ссылки на ForensicWiki-страница не работает больше, но вот один я нашел: (Если вы хотите окунуться в формат-структура вы можете использовать это ресурс. Для заголовка, первые 8192 байта файла, распаковывать их не нужно)

Формат Файла Гибернации.pdf

этот последний PDF и последняя ссылка на ForensicWiki-страница должна дать вам достаточно информации о структуре Hiberfil.sys.

Hibernation файлы состоят из стандартного заголовка (PO_MEMORY_IMAGE), набор контекстов ядра и регистров, таких как CR3 (_KPROCESSOR_STATE) и несколько массивы сжатых / закодированных блоков данных Xpress (_IMAGE_XPRESS_HEADER и _PO_MEMORY_RANGE_ARRAY).

стандартный заголовок существует со смещением 0 файла и показан ниже. Как правило, член подписи должен быть либо "hibr", либо "wake", чтобы считаться действительным, однако в редких случаях весь заголовок PO_MEMORY_IMAGE был обнулен, что может помешать анализу файла спящего режима в большинстве инструментов. В тех случаях, волатильность будет использовать алгоритм грубой силы, чтобы найти нужны данные.

ссылки в этих документах должны дать вам множество других источников для изучения.

6
отвечен Rik 2023-03-21 23:36

Я настоятельно рекомендую вам взглянуть на этот ответ из security.stackexchange.com. Он показывает отличный способ, как извлечь данные, а также информацию о самом алгоритме.

Я выделена важные части.

Да, он сохраняет его незашифрованным на диске. Это скрытый файл в C:\hiberfil.sys, который всегда будет создан на любой системе, которая имеет спящий режим включен. содержание сжатый с помощью Xpress алгоритм, документация к которому доступна в виде документ Word от Microsoft. Матье Suiche сделал всесторонний анализ его как BlackHat презентации в 2008 году, который вы можете получить как PDF. Существует также инструмент под названием Moonsols Windows Memory Toolkit что позволяет создать дамп содержимого файла. Я не знаю, если это позволяет но ты обращаешься обратно. Возможно, вам придется поработать над тем, как это сделать она себе.

после того, как вы получили данные, можно извлечь или изменить данные, включая инструкции. С точки зрения смягчения, ваше лучшее решение для использования шифрования всего диска, например BitLocker или TrueCrypt.

Source

3
отвечен Christian Woerz 2023-03-22 01:53

преобразовать файл гибернации.sys файл в образ raw с помощьюhttp://code.google.com/p/volatility/downloads/list. Последняя версия на данный момент-2.3.1. В частности, можно использовать следующую командную строку для создания необработанного образа: - f imagecopy-O hiberfil_sys.необработанный. Это создаст сырой образ для вас, чтобы затем запустить волатильность, против которой поможет вам извлечь информацию, такую как процесс, соединения, сокеты и кусты реестра (просто назвать несколько). Полный список плагины можно найти здесь:https://code.google.com/p/volatility/wiki/Plugins. Конечно, mandiant redline является еще одним инструментом, который обеспечивает эту функциональность. Надеюсь, это помогло.

3
отвечен labgeek 2023-03-22 04:10

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх