Akquisition (4): hiberfil.sys
Microsoft Windows bietet schon seit langem einen Ruhezustand. Wann immer er aktiviert wird, sichert das Betriebssystem den belegten Arbeitsspeicher in die Datei hiberfil.sys. Nicolas Ruff und Matthieu Suiche haben eine Programmbibliothek (Sandman genannt) entwickelt, die das Format dieser Datei zu lesen und zu schreiben vermag. Ihre Ergebnisse haben beide auf der PacSec 07 in Tokio vorgestellt.
Der Ruhezustand kann sich bei einer forensischen Untersuchung als nützlich erweisen. Um das Betriebssystem in den Schlaf zu schicken, reichen üblicherweise die Rechte eines gewöhnlichen Benutzers aus. Zumindest die wesentlichen (weil gerade benutzten) Teile des Hauptspeichers werden auf die Festplatte kopiert. Im Gegensatz zu einem erzwungenen Systemabsturz überschreiben sie dort nicht einmal potenziell interessante Daten, denn die Datei hiberfil.sys hält den Plattenplatz frei.
Die Präsentation beschreibt erstmals das Format dieser besonderen Systemdatei. Die Präsentation geht dabei auch kurz auf Unterschiede zwischen den einzelnen Versionen von Microsoft Windows und der jeweils verwendeten Kompressionsalgorithmen ein.
Mit Hilfe der Sandman-Bibliothek soll sich dann aus der Datei hiberfil.sys ein Speicherabbild im dd-Format und möglicherweise gar ein Crashdump erzeugen lassen; der CPU-Status ist schließlich erhalten. Leider ist die Bibliothek derzeit aber nicht öffentlich verfügbar.
27.02.2008: Sandman ist jetzt verfügbar.
