Windowsハイバネーションファイル(hiberfil.sys)を読み取ってデータを抽出する方法


8

休止状態ファイルに格納されているすべてのデータを解析して見つける必要があります。ただし、これまでは、16進数エディターで開き、テキストを検索することで手動でしか実行できませんでした。サンドマンライブラリについて見つけましたが、リソースがありません。ファイルを読み取る方法はありますか?またはそれを行うためのツール/ライブラリまたは他の方法はありますか?


3
hiberfilファイルは、休止状態になったときのシステムramのイメージです。そのため、はい、16進数エディターがおそらく最高です。このタスクは、基本的にRAMの内容を読み取ろうとすることと同じです。
フランクトーマス


1
@FrankThomasハイバネーションファイルの形式を知っていますか?
コーダー、

@OliverSalzburgファイルを読み取るためのデータ構造を知りたいですか?
コーダー、

1
@WernerHenze for my assignment
コーダー

回答:


7

ForensicWikiのページHiberfil.sysで、に関する多くの情報を見つけることができます

ファイル形式の解析に必要なデータ構造のほとんどはMicrosoft Windowsデバッグシンボルで使用できますが、使用された圧縮(Xpress)は、Matthieu Suicheによってリバースエンジニアリングされるまで文書化されていませんでした。彼はNicolas RuffでSandmanと呼ばれるプロジェクトを作成し、Windowsハイバネーションファイルを読み書きできる唯一のオープンソースツールです。

Sandmanプロジェクトのpdfはここにあります

Sandmanプロジェクトの作成者は、メモリとHiberfil.sysファイルをダンプする(そしてXPress圧縮形式から抽出する)ツールも作成しました。MoonSols Windowsメモリツールキット

ForensicWikiページの他のリンクのいくつかは機能しなくなりましたが、ここに私が見つけたものがあります:(format-structureに直接飛び込みたい場合は、このリソースを使用できます。ヘッダーには、最初の8192バイトファイル、それらを解凍する必要はありません)

ハイバネーションファイル形式.pdf

この最後のPDFとForensicWikiページの最後のリンクから、の構造に関する十分な情報が得られますHiberfil.sys

ハイバネーションファイルは、標準ヘッダー(PO_MEMORY_IMAGE)、CR3(_KPROCESSOR_STATE)などのカーネルコンテキストとレジスタのセット、および圧縮/エンコードされたXpressデータブロックのいくつかの配列(_IMAGE_XPRESS_HEADERおよび_PO_MEMORY_RANGE_ARRAY)で構成されます。

標準ヘッダーはファイルのオフセット0にあり、以下に示されています。通常、Signatureメンバーは、有効と見なされるには「hibr」または「wake」である必要がありますが、まれに、PO_MEMORY_IMAGEヘッダー全体がゼロになり、ほとんどのツールで休止状態ファイルの分析ができなくなる場合があります。これらの場合、ボラティリティはブルートフォースアルゴリズムを使用して、必要なデータを特定します。

これらのドキュメント内の参照は、探索するための他のソースもたくさん提供するはずです。


3

security.stackexchange.comのこの回答をご覧になることを強くお勧めします。これは、データを抽出する方法と、アルゴリズム自体に関する情報を示す優れた方法を示しています。

重要な部分を強調しました。

はい、暗号化せずにディスクに保存します。これはの隠しファイルであり C:\hiberfil.sys、ハイバネーションが有効になっているすべてのシステムで常に作成されます。内容はXpressアルゴリズムを使用して圧縮されます。そのドキュメントはMicrosoftからWord文書として入手できます。Matthieu Suicheは、2008年にBlackHatプレゼンテーションとして包括的な分析を行いました。これはPDFとして入手できます。また、ファイルの内容をダンプできるMoonSols Windows Memory Toolkitと呼ばれるツールもあります。ただし、それで元に戻すことができるかどうかはわかりません。あなたはそれを自分で行う方法に取り組む必要があるかもしれません。

データを取得したら、指示を含め、データを抽出または変更できます。軽減策に関しては、BitLockerやTrueCryptなどのフルディスク暗号化を使用するのが最善のソリューションです。

ソース


3

http://code.google.com/p/volatility/downloads/listを使用して、hiberfil.sysファイルをrawイメージに変換します。現在の最新バージョンは2.3.1です。具体的には、次のコマンドラインを使用して、最初にrawイメージを作成できます。-fimagecopy -O hiberfil_sys.raw。これにより、ボラティリティを実行するための生のイメージが作成され、プロセス、接続、ソケット、レジストリハイブ(ほんの数例を挙げると)などの情報を抽出するのに役立ちます。プラグインの完全なリストは、https//code.google.com/p/volatility/wiki/Pluginsにあります。もちろん、強制レッドラインはその機能を提供する別のツールです。これがお役に立てば幸いです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.