Digital Forensics: hiberfil.sys
Hybernate เป็น Functionที่มีมาพร้อมกับระบบ Windows โดยหน้าที่ของ Function นี้คือระบบ Windows จะทำการ Snap shot สถานะการทำงานล่าสุดที่เราได้ทำไว้โดยทำการบันทึกลงไปในไฟล์ hiberfil.sys
ข้อดีของ Hibernate คือช่วยให้การ shutdown และเปิดระบบใหม่ เป็นไปได้เร็วขึ้นในกรณีที่เราทำงานค้างอยู่แล้วต้องการเปิดเครื่องให้กลับมาพร้อมในสถานะเหมือนเดิมทุกอย่าง
ข้อเสียของ Hibernate คือจะต้องการพื้นที่จำนวนหนึ่งสำหรับสำรองข้อมูลเพื่อเปิดระบบให้กลับสู่สถานะปัจจุบัน
ในทาง Digital Forensics นั้นพบว่า พบข้อมูลสำคัญใน hiberfil.sys วันนี้เราจะทำการทดสอบดูว่าเราพบอะไรอยู่บ้าง
ทดลอง เข้า website http://www.sans.org และ login ในเครื่องคอมพิวเตอร์ Windows 7 ที่เปิดการทำงาน Hibernate
1. User ทำการ Login User pass “ Windows 7
2. User, Pass เข้า website http://www.sans.org และ login หลายเว็ป
3. ทำการปิดเครื่องตอมพิวเตอร์แบบ Hibernate
4. ทำ forensic Image (สำเนาข้อมูล) จาก Hiberfil.sys จาก User ทำการ Hibernate เครื่องไว้
5. ทำการค้นหา จาก Image โดยใช้ FTK Imager ค้นหา key search user password
6. พบ user และ password ที่login เข้า website ที่เก็บอยู่ใน Hiberfil.sys
4. ทำ forensic Image (สำเนาข้อมูล) จาก Hiberfil.sys จาก User ทำการ Hibernate เครื่องไว้
5. ทำการค้นหา จาก Image โดยใช้ FTK Imager ค้นหา key search user password
6. พบ user และ password ที่login เข้า website ที่เก็บอยู่ใน Hiberfil.sys
6. ทำการค้นหา user และ password ของwindows จาก Image โดยใช้ FTK Imager ค้นหา key search HEX
7. พบ user และ password ที่เก็บอยู่ แบบ NTLM Hash คือ A0 3E 9F F1 A9 FF -- -- FE E2 BE 88 0E 62 07 62
7. พบ user และ password ที่เก็บอยู่ แบบ NTLM Hash คือ A0 3E 9F F1 A9 FF -- -- FE E2 BE 88 0E 62 07 62
8. ทำการทดสอบ password ที่ได้มาว่า ถูกหรือไม่ โดยพิมพ์ clear text password ที่ login windows ในช่อง Enter password ลงไปแล้ว gen และเปรียนเทีบยค่าที่ได้ ค่าตรงกับ LM Hash ตามการทดลอง
สรุป พบว่า ข้อมูลที่พบใน Hiberfil.sys เป็นข้อมูลที่อยู่ใน memory ขณะเครื่องคอมพิวเตอร์เปิดอยู่จึงมีข้อมูลสำคัญถูกเก็บเมื่อทำการปิดเครื่องแบบ Hibernate ผู้ตรวจสอบจึงไม่ควรมองข้ามที่จะตรวจสอบและพบข้อมูลสำคัญๆในไฟล์นี้Referent
http://www.mvpskill.com/kb/%E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B8%A5%E0%B8%9A%E0%B9%84%E0%B8%9F%E0%B8%A5%E0%B9%8C-hiberfil-sys.html
https://technical.nttsecurity.com/post/102dwiw/hibernation-and-page-file-analysis
http://www.hackingarticles.in/forensics-analysis-of-pagefile-and-hibersys-file-in-physical-memory/
https://asecuritysite.com/encryption/lmhash
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud#DForensics-Examiner
No comments:
Post a Comment