Вопрос Как прочитать файл Windows Hibernation (hiberfile.sys) для извлечения данных?


Мне нужно найти все данные, хранящиеся в файле спящего режима, путем его разбора. Однако до сих пор я только вручную делал это вручную, открывая его в Hex-редакторе, а затем искал в нем тексты. Я нашел о SandMan Library, но их нет никаких ресурсов. Любая идея, как читать файл? Или это их инструмент / библиотека или другой способ сделать это?


7
2017-10-16 12:08


происхождения


файл hiberfil представляет собой изображение системного барана в момент его гибернации. как таковой, да, редактор Hex, скорее всего, лучший, который вы получите. Эта задача по существу не отличается от попытки чтения содержимого вашей оперативной памяти. - Frank Thomas
Соответствующий: security.stackexchange.com/questions/23787/... - Der Hochstapler
@FrankThomas знаете ли вы, какой формат файла спящего режима? - coder
@OliverSalzburg Я хочу знать некоторые структуры данных, чтобы прочитать файл? - coder
@WernerHenze для моего задания - coder


ответы:


Вы можете найти много информации о Hiberfil.sys на Страница forensicWiki,

Хотя большинство структур данных, необходимых для синтаксического анализа формата файла, доступны в символах отладки Microsoft Windows, используемое сжатие (Xpress) было недокументировано до тех пор, пока Matthieu Suiche не будет обратным образом. Он создал с Николасом Руффом проект под названием Дрема является единственным инструментом с открытым исходным кодом, который может читать и записывать файл спящего режима Windows.

Опубликован pdf проект Sandman Вот,

Создатели проекта Sandman также создали инструмент для сброса памяти и Hiberfil.sys-file (и извлечь его из формата сжатия XPress). MoonSols Windows Memory Toolkit

Некоторые из других ссылок на странице ForensicWiki больше не работают, но вот один из них: (Если вы хотите погрузиться прямо в структуру формата, вы можете использовать этот ресурс. Для заголовка первые 8192 байта файл, вам не нужно их распаковывать)

Файл гибернации Format.pdf

Этот последний PDF и последняя ссылка на странице ForensicWiki должно предоставить вам достаточно информации о структуре Hiberfil.sys,

Файлы гибернации состоят из стандартного заголовка (PO_MEMORY_IMAGE), набора контекстов ядра и регистров, таких как CR3 (_KPROCESSOR_STATE) и нескольких массивов сжатых / кодированных блоков данных Xpress (_IMAGE_XPRESS_HEADER и _PO_MEMORY_RANGE_ARRAY).

Стандартный заголовок существует со смещением 0 файла и показан ниже. Как правило, член Signature должен быть либо «hibr», либо «wake», чтобы считаться действительным, однако в редких случаях весь заголовок PO_MEMORY_IMAGE был обнулен, что может помешать анализу файла спящего режима в большинстве инструментов. В таких случаях волатильность будет использовать алгоритм грубой силы для поиска необходимых данных.

Ссылки в этих документах должны дать вам много других источников для изучения.


6
2017-10-20 12:26





Я настоятельно рекомендую вам взглянуть на этот ответ security.stackexchange.com, Он показывает отличный способ, как извлечь данные, а также информацию о самом алгоритме.

Я выделены важные части.

Да, он сохраняет его незашифрованным на диске. Это скрытый файл на    C:\hiberfil.sys, который всегда будет создан в любой системе,   спящий режим включен. Содержимое сжимается с помощью Xpress   алгоритм, документация которого доступна в виде Документ Word   от Microsoft, Matthieu Suiche сделал всесторонний анализ этого   как презентация BlackHat в 2008 году, которую вы можете получить в формате PDF,   Существует также инструмент, называемый MoonSols Windows Memory Toolkit что   позволяет выгрузить содержимое файла. Я не знаю, позволяет ли он   вы конвертируете обратно. Возможно, вам придется поработать над этим   сам.

После того как вы получите данные, можно извлечь или изменить данные,   включая инструкции. Что касается смягчения последствий, то наилучшим решением является   для использования полного шифрования диска, такого как BitLocker или TrueCrypt.

Источник


3
2017-10-23 14:16





Преобразуйте файл hiberfil.sys в исходное изображение, используя http://code.google.com/p/volatility/downloads/list, Последняя версия на данный момент - 2.3.1. В частности, вы можете использовать следующую командную строку, чтобы сначала создать необработанное изображение: -f imagecopy -O hiberfil_sys.raw. Это создаст необработанное изображение для вас, а затем запустит волатильность, против которой вы сможете извлечь информацию, такую ​​как процесс, соединения, сокеты и кусты реестра (только для того, чтобы назвать несколько). Полный список плагинов можно найти здесь: https://code.google.com/p/volatility/wiki/Plugins, Конечно, mandiant redline - еще один инструмент, который обеспечивает эту функциональность. Надеюсь, это помогло.


3
2017-11-05 13:19