È possibile estrarre il contenuto della memoria da una macchina Windows ibernata?

Sì, lo memorizza non crittografato sul disco. È un file nascosto in C:\hiberfil.sys , che verrà sempre creato su qualsiasi sistema con la modalità di sospensione abilitata. I contenuti sono compressi usando l'algoritmo Xpress, la cui documentazione è disponibile come documento Word di Microsoft . Matthieu Suiche ne ha fatto un'analisi completa come presentazione di BlackHat nel 2008, che puoi ottenere come PDF . C'è anche uno strumento chiamato MoonSols Windows Memory Toolkit che ti permette di scaricare il contenuto del file. Non so se ti consente di riconvertire, comunque. Potresti dover lavorare su un modo per farlo da solo.

Una volta ottenuti i dati, è possibile estrarre o modificare i dati, incluse le istruzioni. In termini di mitigazione, la soluzione migliore è utilizzare la crittografia a disco intero come BitLocker o TrueCrypt.

È possibile accedere al contenuto di un'immagine di ibernazione semplicemente avviando il computer, che riprende l'immagine. Questo è dopo tutto il punto di ibernazione. Se la ripresa non richiede alcun segreto, significa che l'immagine di ibernazione è autonoma, non può esserci alcuna protezione contro l'attacco da parte di un utente malintenzionato, poiché non c'è modo di distinguere un utente malintenzionato da un utente legittimo.

La ripresa potrebbe non consentire l'accesso a tutto, ad es. se torni al prompt di sblocco dello schermo. Fare una copia dell'immagine di ibernazione ti permetterà di avviarlo più volte. Potresti anche provare ad avviarlo in una macchina virtuale, anche se dovresti emulare l'hardware originale abbastanza da far sì che il ripristino abbia successo.

Naturalmente, il modo migliore per accedere ai dati che sono stati scritti nell'immagine di ibernazione è leggerlo senza eseguirlo ( risposta del polinomio ha dei riferimenti alla documentazione del formato).

In linea di principio è possibile crittografare l'immagine di ibernazione, ma ciò richiede una modifica dell'interfaccia utente: qualcuno deve immettere la chiave di decodifica al ripristino (di solito digitando una passphrase, ad esempio inserendo una smartcard). Per quanto ne so, Windows non supporta la crittografia del file di ibernazione, anche con Bitlocker ( le FAQ sono ambigue, questo articolo rivendica l'assenza di tale funzionalità). TrueCrypt supporta la crittografia del file di ibernazione, così come il meccanismo di ibernazione e di crittografia del disco di Linux.

Si noti che un'immagine di ibernazione crittografata è inutile per un utente malintenzionato che ruba il disco, ma non difende da un malvagio attacco di cameriera , in cui qualcuno ha accesso al sistema ibernato e può piantare malware nell'immagine di avvio che verrà attivata quando un utente legittimo si avvicina e inserisce la passphrase. Difendersi da tali attacchi richiede la verifica dell'integrità del bootloader (inclusa la funzione di ripresa) - questo non è diverso dall'attacco all'avvio a freddo di un sistema.

Tali attacchi sono possibili. Il nome del file è "hiberfil.sys", situato nella radice della partizione di Windows. La posizione può essere cambiata. Windows non crittografa il file di ibernazione e di swap (pagefile.sys). Per evitare questo tipo di attacco offline, è necessario utilizzare la crittografia completa del disco (dell'unità di sistema e dell'unità che memorizza hiberfil.sys e pagefile.sys se le loro posizioni sono state modificate).