Ботан
Злостный спам-бот
- Сообщения
- 940
- Реакции
- 90
Microsoft Windows использует файл подкачки (pagefile.sys), для хранения блоков памяти, которые в данный момент не помещаются в физическую память.
Этот файл, хранится по пути %SystemDrive%\pagefile.sys и является скрытым системным файлом и не может быть прочитан или доступен пользователю, включая Администратора в активной системе.
Этот файл можно прочитать, проанализировав неактивную файловою систему или выполнив проверку с помощью таких инструментов, как FTKImager .
В отличие от файлов гибернации, файлы страниц не могут быть обработаны с помощью Volatility: фактически файл страниц — это просто «дыры» в памяти, где блоки хранятся на диске.
Поскольку данные в файле подкачки не хранятся последовательно, то шанс найти целую цепочку данных очень мал.
Хотя можно обнаружить полезные данные в блоках, меньших или равных 4 КБ, это самый большой показатель, на который можно рассчитывать.
Таким образом, наиболее продуктивным методом анализа файлов подкачки является поиск строк.
Чтобы начать анализ файла подкачки, вы можете использовать команду strings.
Вот несколько примеров:
$
Кроме того, вы можете сканировать pagefile.sys, используя YARA.
Используя (например) набор правил, вы можете сканировать файл подкачки, чтобы найти некоторые вредоносные артефакты, не найденные в энергозависимой памяти:
$ yara malware_rules.yar pagefile.sys
Источник
Этот файл, хранится по пути %SystemDrive%\pagefile.sys и является скрытым системным файлом и не может быть прочитан или доступен пользователю, включая Администратора в активной системе.
Этот файл можно прочитать, проанализировав неактивную файловою систему или выполнив проверку с помощью таких инструментов, как FTKImager .
В отличие от файлов гибернации, файлы страниц не могут быть обработаны с помощью Volatility: фактически файл страниц — это просто «дыры» в памяти, где блоки хранятся на диске.
Поскольку данные в файле подкачки не хранятся последовательно, то шанс найти целую цепочку данных очень мал.
Хотя можно обнаружить полезные данные в блоках, меньших или равных 4 КБ, это самый большой показатель, на который можно рассчитывать.
Таким образом, наиболее продуктивным методом анализа файлов подкачки является поиск строк.
Анализ с помощью «строки».
Чтобы начать анализ файла подкачки, вы можете использовать команду strings.
Вот несколько примеров:
Перечислите все пути в файле подкачки
$
strings pagefile.sys | grep -i "^[a-z]:\\\\" | sort | uniq | less
Поиск переменных среды
$ strings pagefile.sys | grep -i "^[a-zA-Z09_]*=.*" | sort -u | uniq | less
Как найти URL
$ strings pagefile.sys | egrep "^https?://" | sort | uniq | less
Поиск адресов электронной почты
$ strings pagefile.sys | egrep '([[:alnum:]_.-]{1,64}+@[[:alnum:]_.-]{2,255}+?\.[[:alpha:].]{2,4})'
Анализ по правилам YARA
Кроме того, вы можете сканировать pagefile.sys, используя YARA.
Используя (например) набор правил, вы можете сканировать файл подкачки, чтобы найти некоторые вредоносные артефакты, не найденные в энергозависимой памяти:
$ yara malware_rules.yar pagefile.sys
How to extract forensic artifacts from pagefile.sys?
Microsoft Windows uses a paging file, called pagefile.sys, to store page-size blocks of memory that do not current fit into physical memory. This file, stored in %SystemDrive%\pagefile.sys is a hidden system file and it can never be read or accessed by a user, including Administrator. It is...
www.andreafortuna.org
Источник