|
|
| Le forum de référence en programmation et développement. Articles, cours et tutoriels du débutant au chef de projet et DBA confirmé. | |||||||
|
|||||||
| Windows Forum d'entraide sur le système Windows. Lire la F.A.Q Windows XP et la F.A.Q Windows Vista |
 |
|
|
Outils de la discussion |
06/04/2008, 20h24
|
#1 (permalink) |
|
Membre du Club
 Date d'inscription: juin 2005
Messages: 93
|
Lire le fichier pagefile.sys
Bonjour à tous.
Voilà, je cherche depuis un petit moment comment lire ce que contient le fichier pagefiles.sys, mais je ne trouve rien de bien probant. Existe-t-il un liveCD sous linux ou BartPE qui contiendrait les outils nécessaire pour ce genre d'opérations ? Ou peut on trouver des ressources (tutos, informations, logiciels...) sur ce genre d'opérations ? Optionnelement, je voudais aussi pouvoire le faire sur des partitions swap Linux. Merci d'avance pour votre aide. PS : pour ceux qui se demande pourquoi je veux faire ça, dites vous que c'est une question de culture. Je lit partout qu'il faut faire gaffe au swap, le vider, l'effacer pour éviter que quelqu'un puisse y récupérer des trucs dedans, mais nul part je ne trouve comment faire pour récupérer effectivement des trucs dedans, et ça pique ma curiosité. Dernière modification par Assimil ; 07/04/2008 à 22h52 |
|
|
|
07/04/2008, 09h24
|
#2 (permalink) |
  
Date d'inscription: mars 2003
Messages: 8 162
|
déjà, premiere chose à savoir, le fichier pagefile est en read only tant que le système tourne donc effectivement, tu peux que le lire depuis un autre OS (sauf en utilisant un outil dédié qui bypass la protection : http://ieeexplore.ieee.org/Xplore/lo...+Lim%2C+Jongin)
ensuite, il contient des infos mémoire comme le login que tu utilise dans une application mais aussi 10millions de variables dont tu n'as rien à faire. enfin, quand les programmes sont fermés, toutes els infos ne restent pas en mémoire ni même dans le pagefile donc pour les histoires de hacking via la pagefile... pour te répondre quand meme car une fois que tu l'auras ouvert, tu voudras pas aller plus loin, je te conseil de lire cet article http://www.forensics-intl.com/def7.html
__________________
pas de questions par MP! Je n'y réponds pas... moi c'est Louis-Guillaume, ni Louis, ni Guillaume mais Louis-Guillaume et je n'aide pas ceux qui écorchent mon nom 
|
|
|
|
|
07/04/2008, 22h30
|
#3 (permalink) |
|
Membre du Club
Date d'inscription: juin 2005
Messages: 93
|
Merci pour ta réponse
Pour toutes les infos que tu me donnes sur le fichier, j'étais déjà au courant, par contre, merci beaucoup pour les liens, je les étudierais quand j'aurais un peut de temps (j'ai un peut du mal à lire l'anglais, il me faut plus de temps, et il me faut beaucoup de calme) Sinon, non seulement j'ai l'intention d'ouvrir ce fichier, mais en plus, j'ai bien l'intention d'aller plus loin, et d'être capable de naviguer dedans, y trouver des infos, etc., etc... Il me semble que ce genre de compétence est assez intéressante à acquérir. Un truc qui me faciliterait la vie, par contre, ce serait un genre d'explorateur de pagefile.sys, qui serait capable d'afficher les différentes informations, fichiers, etc... Le mieux serait qu'il tourne sous Linux, ça me permettrait de l'intégrer facilement à un live CD, sinon, même sous Windows, y'aura bien moyens de l'intégrer à un BaretPE (je l'ai déjà fait pour un easy recovery, ça serait cool d'ajouter aussi ce genre de logiciel !) Autre question : je sais que quand on manipule les fichiers avec GPG, on est obligé de les décrypter pour les lires, et que forcément, ils se retrouvent en claire dans le pagefile.sys si Windows décide de les swaper. Mais je voulais savoir si il était de même pour tout ce qui est décrypté à la volé, notamment les fichiers qui se trouvent sur un volume TrueCrypt, et les fichiers crypté avec la fonction de cryptage intégré à Windows Sinon, pas de piste pour la swap de linux ? Merci d'avance pour vos réponses |
|
|
|
|
07/04/2008, 22h54
|
#4 (permalink) | ||
|
Date d'inscription: mars 2003
Messages: 8 162
|
Citation:
Citation:
je ne vois vraiment pas la finalité de la chose en plus. pour truecrypt ou autre, il faut que le système soit en marche et donc il te faut en même temps booter sur un cd et accéder le pagefile.sys qui pourrait être bloqué en lecture.
__________________
pas de questions par MP! Je n'y réponds pas... moi c'est Louis-Guillaume, ni Louis, ni Guillaume mais Louis-Guillaume et je n'aide pas ceux qui écorchent mon nom
|
||
|
|
|
|
08/04/2008, 21h52
|
#5 (permalink) | ||
|
Membre du Club
Date d'inscription: juin 2005
Messages: 93
|
Citation:
Citation:
On peut aussi, par exemple, débrancher une machine sur laquelle on détecte une intrusion, puis, chercher des éléments en plus dans la swap pour l'analyse post mortem... Enfin, de toute façon, je vois plein de raison de savoir faire ça. De plus, un disque dur n'étant pas de la ram, et le contenu du fichier pagefile.sys n'étant pas effacé par Windows tant qu'il n'en éprouve pas le besoin, y'auras forcément toujours quelque chose à se mettre sous la dent dedans Apres, on peut parler pendant longtemps du pourquoi du comment, du à quoi ça sert, mais ce n'est pas l'objet de mes questions, qui restent les même : - Existe t il des logiciel qui permettent de lire dans ce fichier et d'en explorer le contenu (quelque soit la manière, live CD ou pas) ? - Quand des fichiers ou des infos chiffrées par truecrypt ou la fonction de chiffrement de Windows sont swappé, sont-ils swappé en claire ou pas ? |
||
|
|
|
|
|
 |
||
Lire le fichier pagefile.sys
|
||
| Outils de la discussion | |
|
|
