Мне нужно найти, что все данные хранятся в файле гибернации, анализируя его. Однако до сих пор мне удавалось сделать это только вручную, открыв его в шестнадцатеричном редакторе и затем выполнив поиск в нем текстов. Я нашел о библиотеке SandMan, но их нет в наличии. Есть идеи, как читать файл? Или это какой-то инструмент / библиотека или другой метод для этого?
3 ответа
7
Вы можете найти много информации о Hiberfil.sys на странице ForensicWiki.
Хотя большинство структур данных, необходимых для анализа формата файла, доступны в символах отладки Microsoft Windows, используемое сжатие (Xpress) не было документировано до тех пор, пока оно не было разработано Мэтью Суиш в обратном порядке. Он создал вместе с Николасом Раффом проект Sandman - единственный инструмент с открытым исходным кодом, который может читать и записывать файл гибернации Windows.
PDF-файл проекта Sandman находится здесь.
Создатели проекта Sandman также создали инструмент для сброса памяти и Hiberfil.sys (и извлечения его из формата сжатия XPress). Пакет памяти MoonSols для Windows
Некоторые другие ссылки на ForensicWiki-странице больше не работают, но я нашел одну из них: (Если вы хотите погрузиться прямо в структуру формата, вы можете использовать этот ресурс. Для заголовка, первых 8192 байтов файла, вам не нужно их распаковывать)
Этот последний PDF и последняя ссылка на ForensicWiki-странице должны дать вам достаточно информации о структуре Hiberfil.sys .
Файлы гибернации состоят из стандартного заголовка (PO_MEMORY_IMAGE), набора контекстов и регистров ядра, таких как CR3 (_KPROCESSOR_STATE) и нескольких массивов сжатых / кодированных блоков данных Xpress (_IMAGE_XPRESS_HEADER и _PO_MEMORY_RANGE_ARRAY).
Стандартный заголовок существует по смещению 0 файла и показан ниже. Как правило, элемент Signature должен быть либо "hibr", либо "wake", чтобы считаться действительным, однако в редких случаях весь заголовок PO_MEMORY_IMAGE обнуляется, что может препятствовать анализу файла гибернации в большинстве инструментов. В этих случаях волатильность будет использовать алгоритм грубой силы, чтобы найти необходимые данные.
Ссылки в этих документах должны дать вам множество других источников для изучения тоже.
3
Преобразуйте файл hiberfil.sys в необработанное изображение с помощью http://code.google.com/p/volatility/downloads/list. Последняя версия на данный момент 2.3.1. В частности, вы можете использовать следующую командную строку, чтобы сначала создать необработанный образ: -f imagecopy -O hiberfil_sys.raw. Это создаст необработанный образ для последующего запуска волатильности, которая поможет вам извлечь информацию, такую как процессы, соединения, сокеты и кусты реестра (и это лишь некоторые из них). Полный список плагинов можно найти здесь: https://code.google.com/p/volatility/wiki/Plugins. Конечно, Mandiant Redline является еще одним инструментом, который обеспечивает эту функциональность. Надеюсь, это помогло.
3
Я настоятельно рекомендую вам взглянуть на этот ответ с сайта security.stackexchange.com. Он показывает отличный способ извлечения данных, а также информацию о самом алгоритме.
Я выделил важные части.
Да, он хранит его в незашифрованном виде на диске. Это скрытый файл в
C:\hiberfil.sys, который всегда будет создаваться в любой системе, в которой включен спящий режим. Содержимое сжимается с использованием алгоритма Xpress, документация которого доступна в виде документа Word от Microsoft. Мэтью Суиш провел всесторонний анализ в виде презентации BlackHat в 2008 году, которую вы можете получить в формате PDF. Существует также инструмент под названием MoonSols Windows Memory Toolkit, который позволяет выгрузить содержимое файла. Я не знаю, позволяет ли это вам вернуться, хотя. Возможно, вам придется поработать над тем, чтобы сделать это самостоятельно.После того, как вы получили данные, можно извлечь или изменить данные, включая инструкции. С точки зрения смягчения, ваше лучшее решение - использовать полное шифрование диска, такое как BitLocker или TrueCrypt.