Encore un outil qui va plaire à nos amis les professionnels de la sécurité ! Il existe une fonctionnalité dans Windows qui permet de faire “hiberner” son PC. Je pense que vous la connaissez tous et que vous l’utilisez souvent pour votre ordinateur portable.

Le principe est simple. Windows réalise une copie de la mémoire du système dans l’état ou il est et la stocke dans un fichier appelé hiberfil.sys.

Ce fichier dont la structure n’est pas officiellement documentée contient toute la mémoire physique (ou plutôt une copie) qui sera restaurée la prochaine fois que vous allumerez votre PC.

Ce qui est intéressant maintenant, c’est de savoir si on peut à partir de ce fichier hiberfil.sys récupérer des infos…Vous vous en doutez, la réponse est oui.

Lire à l’intérieur d’un dump de ce genre est plutôt pratique car c’est indédectable et ça ne laisse aucune trace.

Imaginons encore plus fou… Et si vous aviez envie d’écrire à l’intérieur de ce dump pour introduire dans le système une routine vous permettant de prendre “possession” de la machine (via un trojan par exemple) ?

Et bien cela est possible aussi… Mais comment ?

Avec Sandman qui est une librairie en C dont les fonctions principales sont de lire le fichier d’hibernation de toutes les versions de Windows et d’écrire dedans. Avec cette librairie vous serez alors capable de développer vos propres outils d’analyse d’hiberfil.sys… C’est-y pas merveilleux ?

Bon, évidement, c’est pas non plus tout simple à comprendre. Je vous invite donc à lire le Whitepaper [PDF] qui est plutôt court et clair et si vous voulez vous faire la main sur Sandman, vous trouverez une copie à télécharger sur le site officiel.