Onde o Windows armazena dados de RAM antes da hibernação

Navegue suas respostas
3

Até onde sabemos, a RAM é uma memória volátil que seus dados perdem quando o computador é desligado. Então, quando queremos hibernar nosso sistema, o Windows deve armazenar seus dados em um arquivo no HDD e, em seguida, desligar o computador e, no momento em que pressionamos o botão de ativação, ele importa esses dados novamente para a RAM (do HDD). / p>

Q1: Onde o Windows armazena o conteúdo da RAM antes da hibernação? Quero dizer, onde é o local especial? É um arquivo ou não? Se é um arquivo, onde está o caminho do seu diretório?

Q2: Podemos modificar esse arquivo armazenado para violar algumas regras de segurança do Windows? (Por exemplo, alterando a localização da memória atribuída a um programa com a localização atribuída a outro programa) (por exemplo, usando um disco do Windows Live ou outras janelas que residem nesse sistema "?)

    
por TheGoodUser 22.09.2014 / 13:57

1 resposta

2

Fonte A hibernação expõe vulnerabilidades com a criptografia de software

Onde o Windows armazena o conteúdo da RAM antes da hibernação?

Hibernation allows you to power down a computer in a saved state. When hibernation is activated, your system takes a snapshot of your current session, saves it in a “hiberfil.sys” file on your hard drive and then powers down completely. When the computer is awakened, it reads the “hiberfil.sys” file and then starts up in the same state it was in prior to entering hibernation. The whole process takes a fraction of the time that it typically takes a computer to cold boot.

Podemos modificar esse arquivo armazenado para quebrar algumas regras de segurança do Windows?

Teoricamente sim.

Se você tiver acesso físico à máquina, remova a unidade, monte em outro computador, faça alterações, substitua a unidade e reinicie a máquina.

Você não pode fazer alterações sem usar um segundo computador ou (como apontado por Daniel B) usando outros gerenciadores de inicialização / mídia no computador original.

Não sei se o arquivo hiberfil.sys está marcado para adulteração antes de sair da hibernação.

Além disso, veja abaixo a possível vulnerabilidade em relação às chaves de criptografia.

Although convenient and reliable, a hibernating operating system can be exposed to some serious security flaws, especially if you are using software encryption applications like Bitlocker or TrueCrypt to secure private data stored on your local hard drive.

As stated previously, prior to entering hibernation mode the computer’s saved state information is written to a “hiberfil.sys” file and stored on your hard drive’s root directory. This “hiberfil.sys” file is basically a snapshot of your system’s RAM. If your encryption software is running when your system is put into Hibernation your encrypted data could be at risk.

From the article “Windows Hibernation and hiberfil.sys” published on the nti-Forensics website:

The Windows hiberfil.sys can also be an issue when using encryption software… …If a Windows system is placed into hibernation mode without unmounting encrypted containers or volumes then the encryption keys used to access these containers could be left in RAM in plain-text. RAM will then be saved to the hard drive in the hiberfil.sys. This means that you will be leaving the keys (passwords) to all of your private containers and volumes free for the finding.

So if your encrypted volume was left mounted when you put your computer into hibernation mode, the entire contents of your encrypted partition could be exposed if your hard drive is compromised and the attacker is able to extract the encryption keys from the “hiberfil.sys” file.

    
por 22.09.2014 / 14:12

Tags

Devo usar uma subchave gpg para o ambiente de trabalho (não tão seguro)? O Firefox não abre sites, outros navegadores não