¿Puede extraer el contenido de la memoria de una máquina Windows hibernada?

Sí, lo almacena sin cifrar en el disco. Es un archivo oculto en C:\hiberfil.sys , que siempre se creará en cualquier sistema que tenga habilitada la hibernación. Los contenidos se comprimen usando el algoritmo Xpress, cuya documentación está disponible como Documento de Word de Microsoft . Matthieu Suiche hizo un análisis completo de la misma como una presentación de BlackHat en 2008, que puede obtener como un PDF . También hay una herramienta llamada MoonSols Windows Memory Toolkit que te permite volcar el contenido del archivo. Aunque no sé si te permite volver a convertir. Es posible que tengas que buscar la manera de hacerlo tú mismo.

Una vez que haya eliminado los datos, es posible extraer o modificar los datos, incluidas las instrucciones. En términos de mitigación, su mejor solución es utilizar el cifrado de disco completo como BitLocker o TrueCrypt.

Es posible acceder al contenido de una imagen de hibernación simplemente arrancando la computadora, que reanuda la imagen. Esto es después de todo el punto de hibernación. Si la reanudación no requiere ningún secreto, significa que la imagen de hibernación es independiente, no puede haber ninguna protección contra el acceso de un atacante, ya que no hay manera de distinguir a un atacante de un usuario legítimo.

La reanudación puede no proporcionar acceso a todo, por ejemplo. si vuelves a un indicador de desbloqueo de pantalla. Hacer una copia de la imagen de hibernación le permitirá iniciarla varias veces. Incluso puede intentar iniciarlo en una máquina virtual, aunque tendría que emular el hardware original para que la restauración tenga éxito.

Por supuesto, la mejor manera de acceder a los datos que se han escrito en la imagen de hibernación es leerlos sin ejecutarlos ( la respuesta de Polynomial tiene punteros a la documentación del formato).

En principio, es posible encriptar la imagen de hibernación, pero eso requiere un cambio de interfaz de usuario: alguien debe ingresar la clave de descifrado al reanudar (generalmente escribiendo una contraseña o, por ejemplo, insertando una tarjeta inteligente). Que yo sepa, Windows no admite el cifrado del archivo de hibernación, incluso con Bitlocker ( las preguntas frecuentes son ambiguas, este artículo reclama la ausencia de dicha característica). TrueCrypt admite la encriptación del archivo de hibernación, al igual que el mecanismo de hibernación y encriptación de disco de Linux.

Tenga en cuenta que una imagen en hibernación cifrada no sirve para un atacante que roba el disco, pero no se defiende contra un evil maid attack , donde alguien tiene acceso al sistema hibernado y puede plantar malware en la imagen de arranque, que se activará cuando un usuario legítimo vuelva a aparecer y ingrese la contraseña. La defensa contra tales ataques requiere verificar la integridad del gestor de arranque (incluido el servicio de reanudación), esto no es diferente de atacar el arranque en frío de un sistema.

Tales ataques son posibles. El nombre del archivo es "hiberfil.sys", ubicado en la raíz de la partición de Windows. La ubicación puede ser cambiada. Windows no cifra el archivo de hibernación ni de intercambio (pagefile.sys). Para evitar este tipo de ataque sin conexión, se debe utilizar el cifrado completo del disco (de la unidad del sistema y la unidad que almacena hiberfil.sys y pagefile.sys si se han cambiado sus ubicaciones).