Análise forense – Obtendo URLs visitadas no pagefile.sys

Créditos da publicação aos colegas do Flu project

Na publicação de hoje, veremos como extrair artefatos do arquivo de paginação “pagefile.sys”, que permite estender a memória física usando a memória virtual.

Este arquivo pode ser encontrado na unidade do sistema raiz, geralmente C: \. Como é um arquivo de sistema protegido, não poderemos vê-lo diretamente, mas poderemos ocultá-lo do próprio navegador.

mundotec01

No nível forense, se utiliza em geral ferramentas como FTK ou Autopsy para analisar um disco clonado. Através de qualquer um deles, podemos localizar facilmente o arquivo e exportá-lo para analisá-lo.

mundotec02

O arquivo pagefile.sys não é um arquivo seqüencial, portanto, sua abertura e análise com qualquer editor se tornam complicadas. Existem alguns utilitários e scripts forenses que facilitam o trabalho de prospecção no arquivo, a fim de procurar informações de uma maneira mais ou menos automatizada, mas hoje veremos alguns exemplos manuais para encontrar facilmente dois tipos de strings de texto que Eles serão muito úteis para nós.

A primeira expressão que veremos, com base em strings, permitirá localizar URLs que foram acessados a partir do computador. Nós lhe pediremos para excluir URLs repetidos e também para retornar uma lista ordenada, para facilitar a leitura. Usaremos “egrep” em vez de “grep” para usar o filtro “?” dentro da expressão regular, o que nos permitirá ignorar repetições:

strings pagefile.sys.copy0 | egrep “^http?://” | sort | uniq | less

 

Como você pode ver, em apenas alguns segundos a lista completa dos sites visitados será exibida:

mundotec04

A segunda expressão, também baseada em strings, nos permitirá identificar os caminhos do sistema operacional que foram manipulados:

strings pagefile.sys.copy0 | grep -i “^[a-a]:\\\\” | sort | uniq | less

Você verá muitas outras rotas que poderiam ter sido ocultadas ao longo do dia:

mundotec06

Se você for bom em expressão regular pode fazer muito mais coisas.

Fonte: Flu Project

Anúncios

O armazenamento de senhas no Pagefile.sys

Oi todos!

Pagefile.sys é o arquivo de paginação ou também conhecido como swap.

Este arquivo armazena muitos importante porque funciona como computador de memória virtual. Você pode armazenar temporariamente senhas não criptografadas programas.

Como em artigos anteriores discutem o Windows salva tudo. Então você quer me salvar, mas os dados no PC que você tem que fazer o seguinte:

Abra o editor de registro do Windows (regedit.exe).

Eu digite o seguinte caminho:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Uma vez que há alteração do valor chave de ClearPageFileAtShutdown, o tipo deve ser REG_DWORD eo valor de 1.

Uma vez que esses processos vão ativar os Pagefile.sys limpeza automática sempre que você desligar o computador tiver certeza de que não há senhas ou outros dados no swap.