Как стать автором
Обновить

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

Время на прочтение 8 мин
Количество просмотров 76K
Всего голосов 35: ↑35 и ↓0 +35
Комментарии 21

Комментарии 21

Дело было не в бобине, а в отсутствии антивируса?
Тут такое дело: 100% гарантии защиты не даст ни один даже самый популярный антивирус. Наш многолетний опыт расследования компьютерных преступлений показывает, что антивирусы не спасают от целевой атаки. Приезжая на инцидент в банк или компанию, откуда украли деньги, наши криминалисты, обращают внимание, что на многих зараженных машинах сотрудников установлены самые популярные антивирусы.
А как обстоят дела с настройкой этих самых антивирусов?
Т.е. воткнули и все или же зловреды прорываются сквозь различные кастомные HIPS.

много атак было через дырявые драйвера (а-ля от gigabyte), которые позволяют на ring 0 все вытворять сторонним приложениям?

Файл подкачки в теневой копии – штука очень опасная.

Этот файл исключается из теневого копирования на уровне драйвера (вместе с файлом гибернации и некоторыми другими файлами), поэтому в теневой копии не должно быть данных из этого файла. Но иногда они есть, в малом количестве, в частности из-за того, что драйвер теневого копирования отслеживает изменения данных в блоках по 16 KiB, а кластер файловой системы обычно имеет меньший размер (например, 4 KiB), то есть изменение одного файла может повлечь сохранение (в теневую копию) кластеров из другого файла в пределах того же блока 16 KiB. По аналогичным причинам в теневой копии может оказаться и часть свободного пространства файловой системы (количественная оценка есть в этом посте).

Возьмем образ из 2018 Lone Wolf Scenario и извлечем файл подкачки из самой старой теневой копии. В итоге видим, что размер файла – 3087007744 байта, из них в теневой копии нулевых байтов – 8192 (т. е. блоков из нулевых байтов, скопированных в теневую копию из исходного файла), байтов полезных данных (т. е. отличных от кластеров, содержащих только нулевые байты) – 8192, остальное – «отброшенные» блоки (их драйвер теневого копирования не скопировал в теневую копию, такие блоки могут возвращаться как нулевые байты или данные по исходным смещениям в текущей файловой системе, но для нас это пустое место, так сказать, потому что исходный файл подкачки мы все равно смотрим отдельно; в нашем случае, исходя из флагов в дескрипторе теневой копии, идут не исходные данные, а нулевые байты).

Как видно, в файле подкачки из теневой копии у нас даже 1% данных не набирается.

Аналогичный тест с файлом подкачки из единственной теневой копии в образе из NIST Data Leakage Case. Размер файла – 2146951168 байт, нулевых байтов – 4096, полезных данных – 4096, все остальное – данные по исходным смещениям, т. е. из текущего файла подкачки (а вот их уже можно перепутать с полезными данными). И количественно ситуация с полезными данными такая же.

Вывод: в файле подкачки из теневой копии очень мало данных. А то, что есть, можно перепутать с данными из текущего тома.

Вот, например, очень старый комментарий по поводу аналогичной ситуации со свободным пространством:
The Encase Recover Folders feature parses unallocated clusters looking for folder metadata. It seems that it found data in unallocated clusters relating to the current volume. Therefore I believe that any deleted but recoverable data within the shadow copies needs to be treated with caution.

Но это еще не конец!

Вот снимок экрана, сделанный для файла подкачки из теневой копии внутри образа NIST Data Leakage Case:

Снимок экрана
Снимок экрана

Теневая копия, как показано на снимке, создана в 2015 году. В файле подкачки внутри этой теневой копии обнаружена строка «Arsenal Image Mounter v3.0.64 Alpha», такая версия не могла существовать в 2015 году и ранее. Вопрос: откуда эта строка в файле подкачки?

Ответ
В некоторых случаях при чтении файла подкачки из теневой копии, если она подключена стандартными средствами Windows, возвращаются данные из оперативной памяти компьютера. То есть в качестве данных «с диска» внезапно выступают данные из оперативной памяти стендового компьютера.

И в этом случае на исследуемом накопителе можно найти именно то, что ищешь, хотя этого там нет.
т. е. внутри кластеров из нулевых байтов, скопированных в теневую копию из исходного файла


Fixed.
Я начиная с WIN 7 начал всегда отключать pagefile.sys (естественно при достаточном объёме оперативки).
Ещё ни разу не столкнулся с проблемами от его отсутствия плюс получил профиты в быстродействии системы.
подскажите как уменьшить потребление «выделенной памяти» в отношение физической?
то бывает что 8гб физической свободно, а 15.6 из 16 гб «выделенной памяти» заполнено и при запуске какого нибудь фотошопа пишет что не хватает памяти… хотя свободно физической еще 8 гб…
а можно мануал или описание, то там много параметров не говорящие не о чем
Запускаете с правами админа и параметром stanbylist
Есть хорошая GUI утилита, которая позвляет увидеть распределение памяти по категориям и почистить standby.

docs.microsoft.com/en-us/sysinternals/downloads/rammap
Да, только она задумчивая при запуске и командную строку не понимает.
Задумчивая, потому что собирает карту памяти при старте, а что не принимает ком. строку — большая потеря для админов.

Но вот для обычного пользователя, чтобы наглядно посмотреть и почистить после запуска фотошопа, самое то.
спасибо
да работает, после запуска выделенной памяти практически стало сколько и занятой физической. А когда без параметров запускаешь, что по дефолту?
А зачем скрыли ссылки на атакующие сервера?
Распространение вредоносного ПО запрещено законом. Ссылки под это подходят. А на серверах могут быть размещены файлы для загрузки. А может быть и нет. Лучше перестраховаться, чем даже минимально рисковать.
На самом деле в файле подкачки можно много интересного найти. В свое время, когда еще был клиент Novell для Windows NT, он сохранял пароль открытым текстом, рядом с определенным словом. Так что загрузившись с дискеты с NTFS драйвером его легко можно было узнать.
Самое интересное опустили — удалось ли по содержимому pagefile выяснить, как малварь попала на сервера компании?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий