¿Se pueden recuperar las contraseñas de Windows del archivo de paginación de Windows?

2

Estaba leyendo las razones para borrar los archivos de la página en las estaciones de trabajo, y una de las razones es que las contraseñas se pueden almacenar en el archivo de la página y, por lo tanto, deben borrarse al reiniciarse en el caso de que alguien ponga en peligro la computadora físicamente. Así que estoy planteando la pregunta, ya que no parece del todo correcto.

Podría argumentar que la contraseña y la funcionalidad de Kerberos tienen pocas posibilidades de escribir en el archivo de la página, ya que no hay razón para que el sistema realice un proceso muy importante durante un período en el que los recursos están más disponibles (inicio de sesión). Esta sería una posible respuesta práctica, pero no ideal. El atacante podría reemplazar la memoria RAM de la computadora con una pequeña cantidad antes del robo. Me pregunto si esto es posible bajo cualquier circunstancia.

Si se puede comprometer, ¿sería diferente la situación de un dominio? La contraseña se procesaría en el servidor.

    
pregunta DarkSheep 18.09.2014 - 21:00
fuente

1 respuesta

1

Creo que este artículo de diario responde a su pregunta - > enlace

Sin embargo, si un atacante (A) tiene acceso físico sin restricciones a la PC, puede causar mucho daño. Si A se hace pasar por una persona de ayuda de computadora, A podría ingresar fácilmente a las computadoras, borrar la contraseña del BIOS y luego arrancar desde un CD / USB para instalar malware en el sector de arranque en la HDD / SSD de la computadora.

A también podría hacer un arranque en frío o un ataque de arranque suave en la RAM para obtener su contenido, pero A no cambiaría dos piezas de RAM. Cambiar de SSD / HDD tendría sentido ya que ambos almacenan datos, pero cambiar la RAM no hace nada en realidad.

Si la computadora puede verse comprometida físicamente, eso significa que hay un grave defecto de seguridad que debe solucionarse de inmediato.

Es bueno borrar el pagefile.sys, ya que mitiga cualquier posible fuga de información y permite que un administrador de la red pueda detectar la computadora infectada antes de que se meta en la red.

    
respondido por el crypto 19.09.2014 - 00:38
fuente

Lea otras preguntas en las etiquetas