Мне нужно найти то, что все данные хранятся в файле спящего режима, разбирая его. Однако до сих пор я только manged сделать это вручную, открыв его в шестнадцатеричном редакторе, а затем искать тексты в нем.
Я нашел о библиотеке SandMan, но их нет никаких ресурсов. Есть идеи, как прочитать файл ? Или их любой инструмент / библиотека или другой метод для этого?
Как читать файл гибернации Windows (hiberfile.представление sys) для извлечения данных?
3 ответа
вы можете найти много информации об Hiberfil.sys
на ForensicWiki страницы.
хотя большинство структур данных, необходимых для анализа формата файла доступно в для Windows отладочные символы, используемые сжатия (Экспресс) нелегалкой, пока она не была обратной инженерии Матье Suiche. Он создал с Николасом Раффом проект под названием Sandman это единственный инструмент с открытым исходным кодом, который может читать и писать окна файл гибернации.
pdf проекта Sandman найден здесь.
создатели проекта Sandman также создали инструмент для дампа памяти и Hiberfil.sys
-file (и извлечь его из формата сжатия XPress). Moonsols Windows Memory Toolkit
другие ссылки на ForensicWiki-страница не работает больше, но вот один я нашел: (Если вы хотите окунуться в формат-структура вы можете использовать это ресурс. Для заголовка, первые 8192 байта файла, распаковывать их не нужно)
этот последний PDF и последняя ссылка на ForensicWiki-страница должна дать вам достаточно информации о структуре Hiberfil.sys
.
Hibernation файлы состоят из стандартного заголовка (PO_MEMORY_IMAGE), набор контекстов ядра и регистров, таких как CR3 (_KPROCESSOR_STATE) и несколько массивы сжатых / закодированных блоков данных Xpress (_IMAGE_XPRESS_HEADER и _PO_MEMORY_RANGE_ARRAY).
стандартный заголовок существует со смещением 0 файла и показан ниже. Как правило, член подписи должен быть либо "hibr", либо "wake", чтобы считаться действительным, однако в редких случаях весь заголовок PO_MEMORY_IMAGE был обнулен, что может помешать анализу файла спящего режима в большинстве инструментов. В тех случаях, волатильность будет использовать алгоритм грубой силы, чтобы найти нужны данные.
ссылки в этих документах должны дать вам множество других источников для изучения.
Я настоятельно рекомендую вам взглянуть на этот ответ из security.stackexchange.com. Он показывает отличный способ, как извлечь данные, а также информацию о самом алгоритме.
Я выделена важные части.
Да, он сохраняет его незашифрованным на диске. Это скрытый файл в
C:\hiberfil.sys
, который всегда будет создан на любой системе, которая имеет спящий режим включен. содержание сжатый с помощью Xpress алгоритм, документация к которому доступна в виде документ Word от Microsoft. Матье Suiche сделал всесторонний анализ его как BlackHat презентации в 2008 году, который вы можете получить как PDF. Существует также инструмент под названием Moonsols Windows Memory Toolkit что позволяет создать дамп содержимого файла. Я не знаю, если это позволяет но ты обращаешься обратно. Возможно, вам придется поработать над тем, как это сделать она себе.после того, как вы получили данные, можно извлечь или изменить данные, включая инструкции. С точки зрения смягчения, ваше лучшее решение для использования шифрования всего диска, например BitLocker или TrueCrypt.
преобразовать файл гибернации.sys файл в образ raw с помощьюhttp://code.google.com/p/volatility/downloads/list. Последняя версия на данный момент-2.3.1. В частности, можно использовать следующую командную строку для создания необработанного образа: - f imagecopy-O hiberfil_sys.необработанный. Это создаст сырой образ для вас, чтобы затем запустить волатильность, против которой поможет вам извлечь информацию, такую как процесс, соединения, сокеты и кусты реестра (просто назвать несколько). Полный список плагины можно найти здесь:https://code.google.com/p/volatility/wiki/Plugins. Конечно, mandiant redline является еще одним инструментом, который обеспечивает эту функциональность. Надеюсь, это помогло.
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]