security windows – ¿Puede extraer el contenido de la memoria de una máquina con Windows en hibernación?

Pregunta:

En una discusión reciente sobre hacks de hardware, aparecieron los ataques relacionados con la hibernación de Windows. No estoy del todo convencido de que sea viable sacar cosas de la memoria guardada en el disco.

Cuando Windows hiberna, coloca el contenido de la RAM en un archivo en el disco (y quizás otras cosas también, no lo sé) y luego se apaga. Cuando se vuelve a encender, supongo, coloca el contenido de la RAM guardada en la RAM real.

Entonces, un ataque hipotético sería robar el archivo de disco guardado, robando así el contenido de la RAM, que puede incluir datos confidenciales como contraseñas, o dañar la memoria cambiando el contenido de la RAM, agregando / editando instrucciones para que se ejecute código arbitrario .

Ahora, sé que un atacante que tenga acceso físico a una máquina puede hacer casi cualquier cosa, pero teniendo en cuenta estos ataques específicos, ¿es esto posible? Suponiendo que no hay cifrado en todo el disco, ¿Windows realmente cifra la RAM guardada cuando hiberna?

Además, ¿alguien sabe dónde se almacenará este archivo? Entonces, puedo probar de forma práctica para ver el contenido del disco, ¿tal vez usando un LiveCD?

Respuesta:

Sí, lo almacena sin cifrar en el disco. Es un archivo oculto en C:\hiberfil.sys , que siempre se creará en cualquier sistema que tenga habilitada la hibernación. Los contenidos se comprimen mediante el algoritmo Xpress, cuya documentación está disponible como documento Word de Microsoft . Matthieu Suiche hizo un análisis exhaustivo como presentación de BlackHat en 2008, que puede obtener como PDF . También hay una herramienta llamada MoonSols Windows Memory Toolkit que le permite volcar el contenido del archivo. Sin embargo, no sé si te permite volver a convertir. Es posible que tenga que trabajar en una forma de hacerlo usted mismo.

Una vez que haya obtenido los datos, es posible extraerlos o modificarlos, incluidas las instrucciones. En términos de mitigación, su mejor solución es utilizar cifrado de disco completo como BitLocker o TrueCrypt.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım