Friday, September 23, 2016

Digital Forensics: hiberfil.sys

Digital Forensics: hiberfil.sys

 Hybernate เป็น Functionที่มีมาพร้อมกับระบบ Windows โดยหน้าที่ของ Function นี้คือระบบ Windows จะทำการ Snap shot สถานะการทำงานล่าสุดที่เราได้ทำไว้โดยทำการบันทึกลงไปในไฟล์ hiberfil.sys
 
ข้อดีของ Hibernate คือช่วยให้การ shutdown และเปิดระบบใหม่ เป็นไปได้เร็วขึ้นในกรณีที่เราทำงานค้างอยู่แล้วต้องการเปิดเครื่องให้กลับมาพร้อมในสถานะเหมือนเดิมทุกอย่าง
ข้อเสียของ Hibernate คือจะต้องการพื้นที่จำนวนหนึ่งสำหรับสำรองข้อมูลเพื่อเปิดระบบให้กลับสู่สถานะปัจจุบัน
 
ในทาง Digital Forensics นั้นพบว่า พบข้อมูลสำคัญใน hiberfil.sys วันนี้เราจะทำการทดสอบดูว่าเราพบอะไรอยู่บ้าง
ทดลอง เข้า website http://www.sans.org  และ login  ในเครื่องคอมพิวเตอร์ Windows 7 ที่เปิดการทำงาน Hibernate

1.    User ทำการ Login User pass   “ Windows 7
2.    User, Pass เข้า website http://www.sans.org  และ login  หลายเว็ป 
3.   ทำการปิดเครื่องตอมพิวเตอร์แบบ Hibernate
4.    ทำ forensic Image (สำเนาข้อมูล) จาก  Hiberfil.sys จาก User ทำการ Hibernate  เครื่องไว้ 
5.    ทำการค้นหา จาก Image  โดยใช้ FTK Imager  ค้นหา  key search  user password
6.    พบ user และ  password  ที่login เข้า website ที่เก็บอยู่ใน  Hiberfil.sys
6.    ทำการค้นหา user และ  password  ของwindows จาก Image  โดยใช้ FTK Imager  ค้นหา  key search  HEX
7.    พบ user และ  password  ที่เก็บอยู่ แบบ NTLM Hash  คือ  A0 3E 9F F1 A9 FF -- -- FE E2 BE 88 0E 62 07 62
 
8.     ทำการทดสอบ password ที่ได้มาว่า ถูกหรือไม่   โดยพิมพ์ clear text password  ที่ login windows  ในช่อง Enter password  ลงไปแล้ว gen  และเปรียนเทีบยค่าที่ได้   ค่าตรงกับ LM Hash ตามการทดลอง 
    สรุป พบว่า ข้อมูลที่พบใน Hiberfil.sys เป็นข้อมูลที่อยู่ใน memory ขณะเครื่องคอมพิวเตอร์เปิดอยู่จึงมีข้อมูลสำคัญถูกเก็บเมื่อทำการปิดเครื่องแบบ  Hibernate  ผู้ตรวจสอบจึงไม่ควรมองข้ามที่จะตรวจสอบและพบข้อมูลสำคัญๆในไฟล์นี้

Referent
http://www.mvpskill.com/kb/%E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B8%A5%E0%B8%9A%E0%B9%84%E0%B8%9F%E0%B8%A5%E0%B9%8C-hiberfil-sys.html
https://technical.nttsecurity.com/post/102dwiw/hibernation-and-page-file-analysis
http://www.hackingarticles.in/forensics-analysis-of-pagefile-and-hibersys-file-in-physical-memory/
https://asecuritysite.com/encryption/lmhash


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud#DForensics-Examiner

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....