डेटा निकालने के लिए Windows हाइबरनेशन फ़ाइल (hiberfil.sys) कैसे पढ़ें?

मुझे यह पता लगाने की आवश्यकता है कि हाइबरनेशन फ़ाइल में सभी डेटा को पार्स करके क्या संग्रहीत किया गया है। हालांकि, अब तक, मैं केवल हेक्स संपादक में इसे खोलकर और फिर इसमें ग्रंथों की खोज करके मैन्युअल रूप से ऐसा करने में कामयाब रहा हूं। मैंने सैंडमैन लाइब्रेरी के बारे में पाया, लेकिन वहां कोई संसाधन मौजूद नहीं हैं। किसी भी विचार कैसे फ़ाइल पढ़ने के लिए? या ऐसा करने के लिए कोई उपकरण / पुस्तकालय या अन्य विधि है?

आप फॉरेंसिकविकी पेजHiberfil.sys पर बहुत सारी जानकारी पा सकते हैं ।

हालाँकि फ़ाइल स्वरूप को पार्स करने के लिए आवश्यक अधिकांश डेटा संरचनाएँ Microsoft Windows डिबग प्रतीकों में उपलब्ध हैं, लेकिन उपयोग किए गए संपीड़न (Xpress) को तब तक अनिर्दिष्ट नहीं किया गया था जब तक कि यह Matthieu Suiche द्वारा इंजीनियर नहीं हो गया था। उन्होंने निकोलस रफ के साथ एक परियोजना बनाई जिसे सैंडमैन कहा जाता है, एकमात्र ओपन-सोर्स टूल है जो विंडोज हाइबरनेशन फ़ाइल को पढ़ और लिख सकता है।

परियोजना Sandman का pdf यहाँ पाया जाता है ।

सैंडमैन परियोजना के रचनाकारों ने मेमोरी और Hiberfil.sys-फाइल को डंप करने के लिए एक टूल भी बनाया (और इसे एक्सपीस कम्प्रेशन-फॉर्मेट से निकाला)। MoonSols विंडोज मेमोरी टूलकिट

फॉरेंसिकविकी-पेज के कुछ अन्य लिंक अब काम नहीं करते हैं, लेकिन यहां एक ऐसा है जो मैंने पाया है: (यदि आप प्रारूप-संरचना में सीधे गोता लगाना चाहते हैं तो आप इस संसाधन का उपयोग कर सकते हैं। शीर्ष लेख के लिए, पहले 8192 बाइट्स। फ़ाइल, आपको उन्हें अनसुना करने की आवश्यकता नहीं है)

हाइबरनेशन फ़ाइल Format.pdf

यह अंतिम PDF और ForensicWiki- पृष्ठ पर अंतिम लिंक आपको की संरचना के बारे में पर्याप्त जानकारी देनी चाहिए Hiberfil.sys।

हाइबरनेशन फ़ाइलों में एक मानक शीर्षलेख (PO_MEMORY_IMAGE), कर्नेल संदर्भों और रजिस्टरों जैसे CR3 (_KPROCESSOR_STATE) का एक सेट और संपीड़ित / एन्कैप Xpress डेटा ब्लॉक के कई सरणियाँ (_IMAGE_XPRESS_HEADER और _PO_MEMORY_RANGE_ARANGEYARRAY) शामिल हैं।

मानक हेडर फ़ाइल के ऑफसेट 0 पर मौजूद है और इसे नीचे दिखाया गया है। आम तौर पर, हस्ताक्षर करने वाले सदस्य को वैध माना जाना चाहिए या तो "हाइब्रिड" या "वेक" होना चाहिए, हालांकि दुर्लभ मामलों में पूरे PO_MEMORY_IMAGE हेडर को शून्य कर दिया गया है, जो अधिकांश टूल में हाइबरनेशन फ़ाइल के विश्लेषण को रोक सकता है। उन मामलों में, अस्थिरता उस डेटा का पता लगाने के लिए एक क्रूर बल एल्गोरिथ्म का उपयोग करेगी।

उन दस्तावेज़ों के संदर्भों को आपको तलाशने के लिए बहुत सारे अन्य स्रोत देने चाहिए।

मैं अत्यधिक सलाह दूंगा कि आप इस उत्तर को security.stackexchange.com से देखें । यह एक शानदार तरीका दिखाता है, डेटा को कैसे निकालना है और एल्गोरिथम के बारे में भी जानकारी है।

मैंने महत्वपूर्ण भागों पर प्रकाश डाला है।

हां, यह इसे डिस्क पर अनएन्क्रिप्टेड स्टोर करता है। यह एक छिपी हुई फ़ाइल है C:\hiberfil.sys, जो हमेशा हाइबरनेशन सक्षम किए गए किसी भी सिस्टम पर बनाई जाएगी। सामग्री को Xpress एल्गोरिथ्म का उपयोग करके संपीड़ित किया जाता है, जिसका प्रलेखन Microsoft से वर्ड दस्तावेज़ के रूप में उपलब्ध है । 2008 में मैथ्यू सुइच ने ब्लैकहैट प्रस्तुति के रूप में इसका व्यापक विश्लेषण किया, जिसे आप पीडीएफ के रूप में प्राप्त कर सकते हैं । मूनसोल्स विंडोज मेमोरी टूलकिट नामक एक उपकरण भी है जो आपको फ़ाइल की सामग्री को डंप करने की अनुमति देता है। मुझे नहीं पता कि यह आपको वापस बदलने देता है, हालांकि। आपको इसे स्वयं करने के लिए एक तरीके पर काम करना पड़ सकता है।

एक बार जब आप डेटा प्राप्त कर लेते हैं, तो निर्देशों सहित डेटा को निकालना या संशोधित करना संभव है। शमन के संदर्भ में, आपका सबसे अच्छा उपाय है कि आप फुल-डिस्क एन्क्रिप्शन का उपयोग करें जैसे BitLocker या TrueCrypt।

स्रोत

Http://code.google.com/p/volatility/downloads/list का उपयोग करके hiberfil.sys फ़ाइल को एक कच्ची छवि में बदलें । अब तक का नवीनतम संस्करण 2.3.1 है। विशेष रूप से, आप कच्ची छवि बनाने के लिए निम्न कमांड लाइन का उपयोग कर सकते हैं: -f imagecopy -O hiberfil_sys.raw। यह आपके लिए एक कच्ची छवि बनाएगा, फिर अस्थिरता को भगाएगा जिसके विरुद्ध आपको प्रक्रिया, कनेक्शन, सॉकेट, और रजिस्ट्री पित्ती (बस कुछ नाम देने के लिए) जैसी जानकारी निकालने में मदद मिलेगी। प्लगइन्स की पूरी सूची यहां देखी जा सकती है: https://code.google.com/p/volatility/wiki/Plugins । बेशक, अनिवार्य रेडलाइन एक और उपकरण है जो उस कार्यक्षमता को प्रदान करता है। आशा है कि इससे मदद मिली।