모든 데이터가 파싱되어 최대 절전 모드 파일에 저장된 내용을 찾아야합니다. 그러나 지금까지는 16 진수 편집기에서 열고 텍스트를 검색하여 수동으로 수행했습니다. SandMan Library에 대해 찾았지만 리소스가 없습니다. 파일을 읽는 방법에 대한 아이디어가 있습니까? 아니면 도구 / 라이브러리 또는 다른 방법이 있습니까?
모든 데이터가 파싱되어 최대 절전 모드 파일에 저장된 내용을 찾아야합니다. 그러나 지금까지는 16 진수 편집기에서 열고 텍스트를 검색하여 수동으로 수행했습니다. SandMan Library에 대해 찾았지만 리소스가 없습니다. 파일을 읽는 방법에 대한 아이디어가 있습니까? 아니면 도구 / 라이브러리 또는 다른 방법이 있습니까?
답변:
ForensicWiki 페이지 에서 Hiberfil.sys
에 대한 많은 정보를 찾을 수 있습니다 .
파일 형식을 구문 분석하는 데 필요한 대부분의 데이터 구조는 Microsoft Windows 디버그 기호로 제공되지만 Matthieu Suiche가 리버스 엔지니어링 할 때까지 사용 된 압축 (Xpress)은 문서화되지 않았습니다. 그는 Nicolas Ruff와 함께 Sandman 이라는 프로젝트를 작성하여 Windows 최대 절전 모드 파일을 읽고 쓸 수있는 유일한 오픈 소스 도구입니다.
Sandman 프로젝트의 pdf는 여기에 있습니다 .
Sandman 프로젝트의 제작자들은 메모리와 파일을 덤프 Hiberfil.sys
(XPress 압축 형식에서 추출)하기 위한 도구도 만들었습니다 . MoonSols Windows 메모리 툴킷
ForensicWiki 페이지의 다른 링크 중 일부는 더 이상 작동하지 않지만 다음은 내가 찾은 것입니다. 파일을 압축 해제 할 필요가 없습니다.)
이 마지막 PDF와 ForensicWiki 페이지 의 마지막 링크 는의 구조에 대한 충분한 정보를 제공해야합니다 Hiberfil.sys
.
최대 절전 모드 파일은 표준 헤더 (PO_MEMORY_IMAGE), 일련의 커널 컨텍스트 및 CR3 (_KPROCESSOR_STATE)과 같은 레지스터 및 여러 압축 / 인코딩 된 Xpress 데이터 블록 (_IMAGE_XPRESS_HEADER 및 _PO_MEMORY_RANGE_ARRAY)으로 구성됩니다.
표준 헤더는 파일의 오프셋 0에 있으며 아래에 나와 있습니다. 일반적으로 Signature 멤버는 유효한 것으로 간주 되려면 "hibr"또는 "wake"여야하지만 드물지만 전체 PO_MEMORY_IMAGE 헤더가 제로화되어 대부분의 도구에서 최대 절전 모드 파일을 분석하지 못할 수 있습니다. 이 경우 변동성은 무차별 대입 알고리즘을 사용하여 필요한 데이터를 찾습니다.
이 문서에서 언급 된 참고 자료는 탐색 할 다른 소스도 많이 제공해야합니다.
security.stackexchange.com 에서이 답변을 살펴 보는 것이 좋습니다 . 데이터를 추출하는 방법과 알고리즘 자체에 대한 정보를 보여주는 훌륭한 방법을 보여줍니다.
나는 한 강조 중요한 부분입니다.
예, 디스크에 암호화되지 않은 상태로 저장합니다. 의 숨겨진 파일
C:\hiberfil.sys
이며 최대 절전 모드가 활성화 된 모든 시스템에서 항상 생성됩니다. 내용은 Xpress 알고리즘을 사용하여 압축되며 설명서는 Microsoft 의 Word 문서 로 제공됩니다 . Matthieu Suiche는 2008 년 BlackHat 프리젠 테이션으로 포괄적 인 분석을 수행하여 PDF로 얻을 수 있습니다 . 파일의 내용을 덤프 할 수있는 MoonSols Windows Memory Toolkit 이라는 도구도 있습니다. 그래도 다시 변환 할 수 있는지 모르겠습니다. 직접 수행하는 방법으로 작업해야 할 수도 있습니다.데이터를 가져 오면 지침을 포함하여 데이터를 추출하거나 수정할 수 있습니다. 완화 측면에서 BitLocker 또는 TrueCrypt와 같은 전체 디스크 암호화를 사용하는 것이 가장 좋습니다.
http://code.google.com/p/volatility/downloads/list를 사용하여 hiberfil.sys 파일을 원시 이미지로 변환 하십시오 . 현재 최신 버전은 2.3.1입니다. 특히, 다음 명령 행을 사용하여 원시 이미지를 먼저 작성할 수 있습니다. -f imagecopy -O hiberfil_sys.raw. 이렇게하면 휘발성을 실행할 수있는 원시 이미지가 생성되어 프로세스, 연결, 소켓 및 레지스트리 하이브 (예를 들어 몇 가지)와 같은 정보를 추출하는 데 도움이됩니다. 플러그인의 전체 목록은 https://code.google.com/p/volatility/wiki/Plugins 에서 확인할 수 있습니다 . 물론 mandiant redline은 해당 기능을 제공하는 또 다른 도구입니다. 이것이 도움이 되었기를 바랍니다.