Source Hibernation раскрывает уязвимости с помощью программного шифрования
Где windows хранит содержимое оперативной памяти до гибернации?
Спящий режим позволяет выключить компьютер в сохраненном состоянии. Когда режим гибернации активирован, ваша система делает снимок текущего сеанса, сохраняет его в файле «hiberfil.sys» на жестком диске и затем полностью отключается. Когда компьютер проснулся, он читает файл hiberfil.sys и запускается в том же состоянии, в котором находился до перехода в режим гибернации. Весь процесс занимает небольшую часть времени, в течение которого обычно требуется холодная загрузка компьютера.
Можем ли мы изменить этот сохраненный файл, чтобы нарушить некоторые правила безопасности Windows?
Теоретически да.
Если у вас есть физический доступ к машине, вы можете извлечь диск, смонтировать его на другом компьютере, внести изменения, заменить диск и перезагрузить машину.
Вы не можете вносить изменения, не используя второй компьютер или (как указал Даниэль Б), используя другие менеджеры загрузки / носители на исходном компьютере.
Я не знаю, проверяется ли файл hiberfil.sys на фальсификацию, прежде чем возобновить спящий режим.
Кроме того, см. Ниже возможную уязвимость в отношении ключей шифрования.
Несмотря на удобство и надежность, гибернационная операционная система может подвергаться серьезным уязвимостям, особенно если вы используете приложения для шифрования программного обеспечения, такие как Bitlocker или TrueCrypt, для защиты личных данных, хранящихся на локальном жестком диске.
Как указывалось ранее, перед переходом в режим гибернации сохраненная информация о состоянии компьютера записывается в файл «hiberfil.sys» и сохраняется в корневом каталоге жесткого диска. Этот файл «hiberfil.sys» представляет собой снимок оперативной памяти вашей системы. Если ваше программное обеспечение для шифрования работает, когда ваша система переведена в спящий режим, ваши зашифрованные данные могут оказаться под угрозой.
Из статьи «Windows Hibernation и hiberfil.sys», опубликованной на веб-сайте nti-Forensics:
Windows hiberfil.sys также может быть проблемой при использовании программного обеспечения для шифрования…… Если система Windows переведена в режим гибернации без размонтирования зашифрованных контейнеров или томов, то ключи шифрования, используемые для доступа к этим контейнерам, могут быть оставлены в оперативной памяти в виде простого текста. ОЗУ будет сохранено на жестком диске в hiberfil.sys. Это означает, что вы будете оставлять ключи (пароли) для всех ваших личных контейнеров и томов свободными для поиска.
Таким образом, если ваш зашифрованный том оставался подключенным, когда вы переводите компьютер в режим гибернации, все содержимое вашего зашифрованного раздела может быть открыто, если ваш жесткий диск скомпрометирован, и злоумышленник может извлечь ключи шифрования из «hiberfil.sys» файл.
