È possibile recuperare le password di Windows dal file di paging di Windows?

Question

È possibile recuperare le password di Windows dal file di paging di Windows?

#1 da (1 voti)

2

Stavo leggendo i motivi per cancellare i file di pagina sulle workstation con uno dei motivi elencati è che le password possono essere memorizzate nel file di paging e quindi dovrebbero essere cancellate al riavvio nel caso in cui qualcuno comprometta fisicamente il computer. Quindi sto ponendo la domanda in quanto non sembra abbastanza corretta.

Potrei affermare che la password e la funzionalità Kerberos hanno poche possibilità di scrivere sul file di pagina in quanto non vi è alcun motivo per il sistema di eseguire una pagina di un processo molto importante, durante un periodo in cui le risorse sono più disponibili (login). Questa sarebbe una possibile risposta pratica, ma non ideale. L'utente malintenzionato potrebbe sostituire la RAM del computer con una piccola quantità prima del furto. Mi chiedo se sia possibile in qualsiasi circostanza.

Se può essere compromessa, una situazione di dominio sarebbe diversa? La password verrebbe elaborata sul server.

passwords attacks

posta DarkSheep 18.09.2014 - 21:00

fonte

1 risposta

Leggi altre domande sui tag passwords attacks

XSS: alert () non eseguito su diversi SO / computer Come sono protetti i portali Wifi Captive?

score 1 · Answer 1

Penso che questo diario di giornale risponda alla tua domanda - > link

Tuttavia, se un attaccante (A) ha accesso fisico illimitato al PC, può causare molti danni. Se A si sta mascherando da computer di aiuto, A potrebbe facilmente entrare nei computer, cancellare la password del BIOS e quindi avviare il CD / USB per installare malware nel settore di avvio su HDD / SSD nel computer.

A potrebbe anche fare un avvio a freddo o un attacco soft boot sulla RAM per ottenere il suo contenuto, ma A non cambierebbe due pezzi di RAM. La commutazione di SSD / HDD avrebbe senso dal momento che entrambi memorizzano i dati, ma la modifica della RAM non fa nulla.

Se il computer è in grado di essere fisicamente compromesso, significa che c'è un difetto di sicurezza che deve essere risolto immediatamente.

È bello cancellare il pagefile.sys anche se attenua ogni possibile perdita di informazioni e consente a un amministratore di rete di notare il computer infetto prima che faccia casino con la rete.