কীভাবে উইন্ডোজ হাইবারনেশন ফাইল (হাইবারফিল.সেস) পড়তে হবে ডেটা তোলার জন্য?


8

হাইবারনেশন ফাইলে কীভাবে সমস্ত ডেটা সংরক্ষণ করা যায় তা বিশ্লেষণ করে আমাকে খুঁজে বের করতে হবে। যাইহোক, এখন অবধি, আমি কেবলমাত্র এটি একটি হেক্স সম্পাদককে খুলতে এবং তারপরে এতে পাঠ্য অনুসন্ধান করে ম্যানুয়ালি করতে পেরেছি। আমি স্যান্ডম্যান লাইব্রেরি সম্পর্কে পেয়েছি কিন্তু সেখানে কোনও সংস্থান নেই। ফাইলটি কীভাবে পড়বেন? অথবা এটি করার কোনও সরঞ্জাম / গ্রন্থাগার বা অন্যান্য পদ্ধতি আছে কি?


3
হাইবারফিল ফাইলটি হাইবারনেটেড হওয়ার সময় সিস্টেমগুলি র‌্যামের একটি চিত্র। যেমন, হ্যাঁ, একটি হেক্স সম্পাদক সম্ভবত আপনি সবচেয়ে ভাল পাবেন। এই কার্যটি আপনার র‌্যামের সামগ্রীগুলি পড়ার চেষ্টা করার চেয়ে আলাদাভাবে নয়।
ফ্র্যাঙ্ক থমাস


1
@ ফ্র্যাঙ্ক থমাস আপনি কি জানেন হাইবারনেশন ফাইলের ফর্ম্যাটটি কী?
কোডার

@ অলিভারসালজবার্গ আমি ফাইলটি পড়তে কিছু তথ্য কাঠামো জানতে চাই?
কোডার

1
@ ওয়ার্নার হেনজে আমার নিয়োগের জন্য
কোডার

উত্তর:


7

আপনার সম্পর্কে তথ্য অনেক খুঁজে পেতে পারেন Hiberfil.sysউপর ForensicWiki পৃষ্ঠা

যদিও ফাইল ফর্ম্যাটটি বিশ্লেষণের জন্য প্রয়োজনীয় বেশিরভাগ ডেটা স্ট্রাকচার মাইক্রোসফ্ট উইন্ডোজ ডিবাগ প্রতীকগুলিতে পাওয়া যায়, তবে ম্যাথিউ সুয়েচের বিপরীতে ইঞ্জিনিয়ারিং না হওয়া অবধি ব্যবহৃত সংক্ষেপণ (এক্সপ্রেস) নথিভুক্ত ছিল। তিনি নিকোলাস রাফের সাহায্যে স্যান্ডম্যান নামে একটি প্রকল্প তৈরি করেছিলেন যা একমাত্র ওপেন-সোর্স সরঞ্জাম যা উইন্ডোজ হাইবারনেশন ফাইলটি পড়তে এবং লিখতে পারে।

প্রকল্পের Sandman থেকে এর পিডিএফ পাওয়া যায় এখানে

স্যান্ডম্যান প্রকল্পের নির্মাতারা মেমরি এবং Hiberfil.sysফাইলে (এবং এটি এক্সপ্রেস সংক্ষেপণ-বিন্যাস থেকে নিষ্কাশন) ডাম্প করার জন্য একটি সরঞ্জামও তৈরি করেছিলেন। মুনসোলস উইন্ডোজ মেমরি টুলকিট

ফরেনসিক উইকি-পৃষ্ঠার অন্যান্য লিঙ্কগুলির মধ্যে কিছু আর কাজ করে না তবে এখানে একটি পাওয়া গেছে: (আপনি যদি সরাসরি বিন্যাস-কাঠামোয় ডাইভ করতে চান তবে আপনি এই উত্সটি ব্যবহার করতে পারেন the শিরোনামের জন্য, প্রথমটি 8192 বাইটের ফাইল, আপনার এগুলি সঙ্কুচিত করার দরকার নেই)

হাইবারনেশন ফাইল ফর্ম্যাট.পিডিএফ

এই শেষ পিডিএফ এবং ফরেনসিক উইকি-পৃষ্ঠার শেষ লিঙ্কটি আপনাকে কাঠামোর কাঠামো সম্পর্কে পর্যাপ্ত তথ্য দেবে Hiberfil.sys

হাইবারনেশন ফাইলগুলিতে একটি স্ট্যান্ডার্ড শিরোনাম (PO_MEMORY_IMAGE), কার্নেল প্রসঙ্গের একটি সেট এবং CR3 (_KPROCESSOR_STATE) এবং সংক্ষেপিত / এনকোডড এক্সপ্রেস ডেটা ব্লক (_IMAGE_XPPress_HEADER এবং _PO_MEMORY_RANGE_ARRAY) এর বেশ কয়েকটি অ্যারে থাকে।

স্ট্যান্ডার্ড শিরোনামটি ফাইলের অফসেট 0 এ উপস্থিত থাকে এবং নীচে প্রদর্শিত হয়। সাধারণত, স্বাক্ষর সদস্যকে হয় "hibr" বা "জাগ্রত" বৈধ হিসাবে বিবেচনা করতে হবে, তবে বিরল ক্ষেত্রে পুরো PO_MEMORY_IMAGE শিরোনামটি শূন্য করা হয়েছে, যা বেশিরভাগ সরঞ্জামগুলিতে হাইবারনেশন ফাইল বিশ্লেষণকে রোধ করতে পারে। এই ক্ষেত্রে, অস্থিরতা এটির প্রয়োজনীয় ডেটা সনাক্ত করতে ব্রুট ফোর্স অ্যালগরিদম ব্যবহার করবে।

এই দস্তাবেজের উল্লেখগুলি আপনাকে অন্বেষণ করার জন্য প্রচুর পরিমাণে উত্স সরবরাহ করবে।


3

আমি সিকিউরিটি.স্ট্যাকেক্সেঞ্জ ডটকম থেকে এই উত্তরটি একবার দেখার পরামর্শ দিচ্ছি । এটি দুর্দান্ত উপায় দেখায়, কীভাবে ডেটা বের করতে হয় এবং নিজেই অ্যালগরিদম সম্পর্কেও তথ্য।

আমি গুরুত্বপূর্ণ অংশগুলি হাইলাইট করেছি ।

হ্যাঁ, এটি এটি ডিস্কে এনক্রিপ্ট না করে সংরক্ষণ করে। এটি এতে একটি লুকানো ফাইল C:\hiberfil.sys, যা হাইবারনেশন সক্ষম করে এমন কোনও সিস্টেমে সর্বদা তৈরি করা হবে। এক্সপ্রেস অ্যালগরিদম ব্যবহার করে সামগ্রীগুলি সংকুচিত করা হয়েছে, মাইক্রোসফ্ট থেকে ওয়ার্ড ডকুমেন্ট হিসাবে যে ডকুমেন্টেশন উপলব্ধ । ম্যাথিউ সুচি ২০০৮ সালে একটি ব্ল্যাকহ্যাট উপস্থাপনা হিসাবে এটির একটি বিস্তৃত বিশ্লেষণ করেছিলেন, যা আপনি পিডিএফ হিসাবে পেতে পারেন । মুনসোলস উইন্ডোজ মেমোরি টুলকিট নামে একটি সরঞ্জাম রয়েছে যা আপনাকে ফাইলের বিষয়বস্তু ফেলে দিতে দেয়। যদিও এটি আপনাকে আবার রূপান্তর করতে দেয় কিনা তা আমি জানি না। এটি নিজে করার একটি উপায় নিয়ে আপনাকে কাজ করতে হতে পারে।

একবার আপনি তথ্য বের হয়ে গেলে, নির্দেশাবলী সহ ডেটা উত্তোলন বা সংশোধন করা সম্ভব। প্রশমিতকরণের ক্ষেত্রে, আপনার সেরা সমাধানটি হ'ল বিটলকার বা ট্রুক্রিপ্টের মতো ফুল-ডিস্ক এনক্রিপশন ব্যবহার করা।

সূত্র


3

হাইবারফিল.সাইস ফাইলটিকে http://code.google.com/p/volatility/downloads/list ব্যবহার করে একটি কাঁচা চিত্রে রূপান্তর করুন । এখনকার সর্বশেষ সংস্করণটি 2.3.1। বিশেষত, আপনি প্রথমে কাঁচা চিত্র তৈরি করতে নীচের কমান্ড লাইনটি ব্যবহার করতে পারেন: -f ইমেজকপি -O হাইবারফিল_সিস.আরউ। এটি আপনার পক্ষে অস্থিরতা চালানোর জন্য একটি কাঁচা চিত্র তৈরি করবে যা আপনাকে প্রক্রিয়া, সংযোগগুলি, সকেটস এবং রেজিস্ট্রি হাইবসের মতো তথ্য বের করতে সহায়তা করবে (কেবলমাত্র কয়েকটি নাম দেওয়ার জন্য)। প্লাগইনগুলির একটি সম্পূর্ণ তালিকা এখানে পাওয়া যাবে: https://code.google.com/p/volatility/wiki/Plugins । অবশ্যই, ম্যান্ডিয়েন্ট রেডলাইন হ'ল একটি সরঞ্জাম যা সেই কার্যকারিতা সরবরাহ করে। আশা করি এটি সাহায্য করেছে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.