Làm cách nào để đọc tệp Windows Hibernation (hiberfil.sys) để trích xuất dữ liệu?

Tôi cần tìm tất cả dữ liệu được lưu trữ trong tệp ngủ đông bằng cách phân tích cú pháp. Tuy nhiên, cho đến bây giờ, tôi chỉ có thể làm điều đó bằng tay bằng cách mở nó trong trình soạn thảo Hex và sau đó tìm kiếm văn bản trong đó. Tôi đã tìm thấy về Thư viện Sandman nhưng không có bất kỳ tài nguyên nào hiện diện. Bất kỳ ý tưởng làm thế nào để đọc các tập tin? Hoặc có bất kỳ công cụ / thư viện hoặc phương pháp khác để làm như vậy?

Bạn có thể tìm thấy rất nhiều thông tin về Hiberfil.systrên trang ForensicWiki .

Mặc dù hầu hết các cấu trúc dữ liệu cần thiết để phân tích định dạng tệp có sẵn trong các biểu tượng gỡ lỗi của Microsoft Windows, việc nén được sử dụng (Xpress) không được ghi nhận cho đến khi nó được Matthieu Suiche thiết kế ngược. Ông đã tạo ra với Nicolas Ruff một dự án có tên Sandman là công cụ nguồn mở duy nhất có thể đọc và ghi tệp ngủ đông Windows.

Pdf của dự án Sandman được tìm thấy ở đây .

Những người tạo ra dự án Sandman cũng tạo ra một công cụ để kết xuất bộ nhớ và Hiberfil.sys-file (và trích xuất nó từ định dạng nén XPress). Bộ công cụ bộ nhớ Windows MoonSols

Một số liên kết khác trên trang ForensicWiki không hoạt động nữa nhưng đây là một liên kết tôi tìm thấy: (Nếu bạn muốn đi thẳng vào cấu trúc định dạng, bạn có thể sử dụng tài nguyên này. Đối với tiêu đề, 8192 byte đầu tiên của tập tin, bạn không cần giải nén chúng)

Định dạng tệp ngủ đông.pdf

Bản PDF cuối cùng này và liên kết cuối cùng trên trang ForensicWiki sẽ cung cấp cho bạn đủ thông tin về cấu trúc của Hiberfil.sys.

Các tệp ngủ đông bao gồm một tiêu đề tiêu chuẩn (PO_MEMORY_IMAGE), một tập hợp các bối cảnh và thanh ghi kernel như CR3 (_KPROCESSOR_STATE) và một số mảng của khối dữ liệu Xpress được nén / mã hóa (_IMAGE_XPRESS_HEADER và _PO_M_

Tiêu đề tiêu chuẩn tồn tại ở offset 0 của tệp và được hiển thị bên dưới. Nói chung, thành viên Chữ ký phải là "hibr" hoặc "đánh thức" để được coi là hợp lệ, tuy nhiên trong một số trường hợp hiếm hoi, toàn bộ tiêu đề PO_MEMORY_IMAGE đã bị loại bỏ, điều này có thể ngăn phân tích tệp ngủ đông trong hầu hết các công cụ. Trong những trường hợp đó, sự biến động sẽ sử dụng thuật toán vũ phu để xác định vị trí dữ liệu cần thiết.

Các tài liệu tham khảo trong các tài liệu đó sẽ cung cấp cho bạn nhiều nguồn khác để khám phá.

Tôi đặc biệt khuyên bạn nên xem câu trả lời này từ security.stackexchange.com . Nó cho thấy một cách tuyệt vời, làm thế nào để trích xuất dữ liệu và cả thông tin về chính thuật toán.

Tôi đã nhấn mạnh những phần quan trọng.

Vâng, nó không lưu trữ nó không được mã hóa trên đĩa. Đó là một tập tin ẩn tại C:\hiberfil.sys, sẽ luôn được tạo trên bất kỳ hệ thống nào đã bật chế độ ngủ đông. Nội dung được nén bằng thuật toán Xpress, tài liệu có sẵn dưới dạng tài liệu Word của Microsoft . Matthieu Suiche đã phân tích toàn diện về nó như một bài thuyết trình BlackHat năm 2008, mà bạn có thể lấy dưới dạng PDF . Ngoài ra còn có một công cụ có tên MoonSols Windows Memory Toolkit cho phép bạn kết xuất nội dung của tệp. Tôi không biết nếu nó cho phép bạn chuyển đổi trở lại, mặc dù. Bạn có thể phải làm việc theo cách tự làm.

Khi bạn đã lấy được dữ liệu, có thể trích xuất hoặc sửa đổi dữ liệu, bao gồm cả hướng dẫn. Về mặt giảm thiểu, giải pháp tốt nhất của bạn là sử dụng mã hóa toàn bộ đĩa như BitLocker hoặc TrueCrypt.

Nguồn

Chuyển đổi tệp hiberfil.sys thành hình ảnh thô bằng cách sử dụng http://code.google.com.vn/p/volatility/doads/list . Phiên bản mới nhất tính đến thời điểm hiện tại là 2.3.1. Cụ thể, bạn có thể sử dụng dòng lệnh sau để tạo ảnh thô: -f hình ảnh -O hiberfil_sys.raw. Điều này sẽ tạo ra một hình ảnh thô để bạn chạy biến động dựa vào đó sẽ giúp bạn trích xuất thông tin như quy trình, kết nối, ổ cắm và tổ ong đăng ký (chỉ để đặt tên cho một số). Danh sách đầy đủ các plugin có thể được tìm thấy ở đây: https://code.google.com.vn/p/volatility/wiki/Plugins . Tất nhiên, redline ủy thác là một công cụ khác cung cấp chức năng đó. Hy vọng điều này sẽ giúp.