Como ler o arquivo de hibernação do Windows (hiberfile.sys) para extrair dados?

7

Eu preciso encontrar o que todos os dados são armazenados no arquivo de hibernação, analisando-o. No entanto, até agora eu tenho apenas manged para fazê-lo manualmente, abrindo-o em um editor Hex e, em seguida, procurando por textos nele. Eu encontrei sobre SandMan Library, mas não há recursos presentes. Alguma ideia de como ler o arquivo? Ou existe alguma ferramenta / biblioteca ou outro método para fazer isso?

    
por coder 16.10.2013 / 14:08

3 respostas

6

Você pode encontrar muitas informações sobre o Hiberfil.sys na página do ForensicWiki .

Although most of the data structures required to parse the file format are available in the Microsoft Windows debug symbols, the compression used (Xpress) was undocumented until it was reverse engineered by Matthieu Suiche. He created with Nicolas Ruff a project called Sandman is the only open-source tool that can read and write the Windows hibernation file.

O pdf do projeto Sandman é encontrado aqui .

Os criadores do projeto Sandman também criaram uma ferramenta para despejar a memória e o Hiberfil.sys -file (e extraí-lo do formato de compactação XPress). MoonSols Windows Memory Toolkit

Alguns dos outros links na página ForensicWiki não funcionam mais, mas aqui está um que eu encontrei: (Se você quer mergulhar direto na estrutura de formatos, você pode usar este recurso. Para o cabeçalho, o primeiro 8192 bytes do arquivo, você não precisa descompactá-los)

Formato de arquivo de hibernação.pdf

Este último PDF e o último link na página do ForensicWiki devem fornecer informações suficientes sobre o estrutura do Hiberfil.sys .

Hibernation files consist of a standard header (PO_MEMORY_IMAGE), a set of kernel contexts and registers such as CR3 (_KPROCESSOR_STATE) and several arrays of compressed/encoded Xpress data blocks (_IMAGE_XPRESS_HEADER and _PO_MEMORY_RANGE_ARRAY).

The standard header exists at offset 0 of the file and is shown below. Generally, the Signature member must be either "hibr" or "wake" to be considered valid, however in rare cases the entire PO_MEMORY_IMAGE header has been zeroed out, which can prevent analysis of the hibernation file in most tools. In those cases, volatility will use a brute force algorithm to locate the data it needs.

As referências nesses documentos devem fornecer muitas outras fontes para explorar também.

    
por 20.10.2013 / 14:26
3

Eu recomendo que você dê uma olhada nesta resposta de security.stackexchange.com . Ele mostra uma ótima maneira de extrair os dados e também informações sobre o próprio algoritmo.

Eu destaquei as partes importantes.

Yes, it does store it unencrypted on the disk. It's a hidden file at C:\hiberfil.sys, which will always be created on any system that has hibernation enabled. The contents are compressed using the Xpress algorithm, the documentation of which is available as a Word document from Microsoft. Matthieu Suiche did a comprehensive analysis of it as a BlackHat presentation in 2008, which you can get as a PDF. There's also a tool called MoonSols Windows Memory Toolkit that allows you to dump the contents of the file. I don't know if it lets you convert back, though. You might have to work on a way to do it yourself.

Once you've got the data out, it's possible to extract or modify data, including instructions. In terms of mitigation, your best solution is to use full-disk encryption like BitLocker or TrueCrypt.

Fonte

    
por 23.10.2013 / 16:16
3

Converta o arquivo hiberfil.sys em uma imagem não processada usando o link . A última versão a partir de agora é 2.3.1. Especificamente, você pode usar a seguinte linha de comando para criar primeiro a imagem não processada: -f imagecopy -O hiberfil_sys.raw. Isso criará uma imagem bruta para você executar a volatilidade, o que ajudará a extrair informações como processo, conexões, soquetes e seções do Registro (só para citar algumas). Uma lista completa dos plugins pode ser encontrada aqui: link . Naturalmente, redline mandiant é outra ferramenta que fornece essa funcionalidade. Espero que isso tenha ajudado.

    
por 05.11.2014 / 14:19