При создании криптоконтейнера в самой заботливой оперционной систме - Windows мы оставляем достаточно информации для тех кто изъявит желание поглазеть что мы прячем в своём контейнере. Обозначим наши цели в составе Windows с которыми будем бороться:
1) Оперативная память
2) Файл подкачки (pagefile.sys)
3) Файл гибернации (hiberfil.sys)
При создании криптоконтейнера данные первым делом попадают в оперативную память при дампе которой криминалистическим софтом легко открывается контейнер. Далее данные из опер.памяти перекочёвывают в файл подкачки где хранятся очень долго и хз когда будут перезаписаны другими данными. Если пользоваться режимом гебернации то и там окажутся все улики при первом же уходе машины в этот режим.
Хотя учитывая то что разработка потенциального преступника обычно ведется годами (собирается доказательная база) и можно предположить что всё канет в лету за это время, лучше не рисковать. Тем более никогда не узнаешь что есть уже на данный момент у противника и когда он заявится. Ну да ладно . Делов то на 10 мин.
Идем по порядку. Первое что делаем – отключаем файл подкачки (pagefile.sys). Лежит он в корне диска С:// со статусом скрытый. Если explorer его не видит, ищем через Total Commander c включённой функцией показывать скрытые файлы. У меня TC v.8.01 функция включается через Вид-Расширенные настройки-Показать скрытые/системные файлы: вкл/выкл.
Погнали в cmd
Отменяем - “Автоматический выбор объема файла подкачки” командой:
wmic computersystem set AutomaticManagedPagefile=False и жмём Enter:
Получаем одобрение, что мы на правильном пути.
Далее чтобы отключить использование существующего файла подкачки вводим команду:
wmic pagefileset where name="C:\\pagefile.sys" delete и жмём Enter:
где:
name="C:\\pagefile.sys" - расположение файла подкачки
Идем дальше.
Вторым действием – удаляем файл гибернации hiberfil.sys.
В cmd вводим:
powercfg.exe -h off и жмём Enter:
И вообще если у вас SSD, нефиг его насиловать перезаписью данных при использовании режима гибернации, т.к. у него ограничен ресурс. Перезагружаемся.
Теперь создаем криптоконтейнер.
Ну естественно, если нужно, возвращаем всё назад.
Чтобы дать системе разрешение “Автоматически выбирать объем файла подкачки” вводим:
wmic computersystem set AutomaticManagedPagefile=True и жмём Enter.
Либо компьютер (ПКМ) - свойства – дополнительные параметры системы – быстродействие – параметры – дополнительно – изменить.
Снова активировать режим гибернации набираем следующую команду и жмём Enter:
powercfg.exe -h on
Вот и всё. А нет ещё журналы почистить можно (запускаемый софт, втыкаемые флешки т.д.), но это уже косвенные улики и совсем другая тема.
И в заключении хочу сказать - не пользуйтесь Windows и продуктами Microsoft!
1) Оперативная память
2) Файл подкачки (pagefile.sys)
3) Файл гибернации (hiberfil.sys)
При создании криптоконтейнера данные первым делом попадают в оперативную память при дампе которой криминалистическим софтом легко открывается контейнер. Далее данные из опер.памяти перекочёвывают в файл подкачки где хранятся очень долго и хз когда будут перезаписаны другими данными. Если пользоваться режимом гебернации то и там окажутся все улики при первом же уходе машины в этот режим.
Хотя учитывая то что разработка потенциального преступника обычно ведется годами (собирается доказательная база) и можно предположить что всё канет в лету за это время, лучше не рисковать. Тем более никогда не узнаешь что есть уже на данный момент у противника и когда он заявится. Ну да ладно . Делов то на 10 мин.
Идем по порядку. Первое что делаем – отключаем файл подкачки (pagefile.sys). Лежит он в корне диска С:// со статусом скрытый. Если explorer его не видит, ищем через Total Commander c включённой функцией показывать скрытые файлы. У меня TC v.8.01 функция включается через Вид-Расширенные настройки-Показать скрытые/системные файлы: вкл/выкл.
Погнали в cmd
Отменяем - “Автоматический выбор объема файла подкачки” командой:
wmic computersystem set AutomaticManagedPagefile=False и жмём Enter:
Получаем одобрение, что мы на правильном пути.
Далее чтобы отключить использование существующего файла подкачки вводим команду:
wmic pagefileset where name="C:\\pagefile.sys" delete и жмём Enter:
где:
name="C:\\pagefile.sys" - расположение файла подкачки
Идем дальше.
Вторым действием – удаляем файл гибернации hiberfil.sys.
В cmd вводим:
powercfg.exe -h off и жмём Enter:
И вообще если у вас SSD, нефиг его насиловать перезаписью данных при использовании режима гибернации, т.к. у него ограничен ресурс. Перезагружаемся.
Теперь создаем криптоконтейнер.
Ну естественно, если нужно, возвращаем всё назад.
Чтобы дать системе разрешение “Автоматически выбирать объем файла подкачки” вводим:
wmic computersystem set AutomaticManagedPagefile=True и жмём Enter.
Либо компьютер (ПКМ) - свойства – дополнительные параметры системы – быстродействие – параметры – дополнительно – изменить.
Снова активировать режим гибернации набираем следующую команду и жмём Enter:
powercfg.exe -h on
И в заключении хочу сказать - не пользуйтесь Windows и продуктами Microsoft!
По мотивам вебинара VectorT13.
