oktava-studio.ru

Файл подкачки



Файл подкачки и его использование для сокрытия данных




Файл подкачки это файл, который предназначен для хранения страниц виртуальной памяти. Система обращается к файлу подкачки в случае необходимости выделения памяти, когда не хватает физической памяти. Далее, вместо того, чтобы обращаться к ОЗУ, система обращается к файлу на жёстком диске. Это гораздо медленнее, зато можно выделить приложению столько памяти, сколько ему нужно.

В реестре Windows есть ключи, отвечающие за настройку файлов подкачки. Они находятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management. Количество файлов подкачки в системе и их размер определяются в ключе PagingFiles, имеющим тип REG_MULTI_SZ. Это набор строк, каждая строка в котором может выглядеть примерно так:

c:\pagefile.sys 512 3072

В начале строки задаётся путь к файлу подкачки и его имя. Стандартное имя файла подкачки - pagefile.sys, стандартное расположение - в корне диска. Имя и путь к файлу подкачки можно менять как угодно. Если вы зададите некорректное имя, которое система не может создать, то файл подкачки появится на своём месте по-умолчанию.

Следующие два слова в строке это минимальный и максимальный размер файла подкачки. Им можно задать одинаковое значение, тогда размер файла подкачки будет всегда одинаковый и он будет меньше фрагментироваться, что должно положительно сказаться на производительности компьютера. Меняя числовые значения в PagingFiles можно увеличить или уменьшить размер файла подкачки.

В системе может быть несколько файлов подкачки на разных дисках, тогда в ключе PagingFiles следует описать их все на отдельных строках. При изменении ключа, для того, чтобы изменения вступили в силу, следует перезагрузить компьютер. Чтобы отключить файл подкачки просто удалите все строки из ключа реестра.

Ключ реестра ClearPageFileAtShutdown типа REG_DWORD отвечает за очистку файла подкачки при завершении работы системы. Это нужно для защиты от анализа файла подкачки на предмет извлечения из него конфиденциальных данных, паролей, и т. п. Если в этом ключе реестра установить значение 1, файл подкачки будет стираться при выключении компьютера.

Сокрытие данных

Файл pagefile.sys недоступен в системе во время её работы. Его нельзя открыть, переименовать или удалить стандартным способом. Это можно использовать для выполнения трюка, позволяющего до поры до времени скрыть конфиденциальные данные, например, если требуется скрыть факт присутствия на компьютере криптоконтейнера. Чтобы выполнить трюк, потребуется совершить следующие действия:

  1. Создаём где-либо в файловой системе NTFS пустой файл с любым именем, например C:\file.dat;
  2. Прикрепляем к файлу криптоконтейнер, который необходимо скрыть, в виде файлового потока NTFS. Сделать это можно с помошью программы NTFS Stream Explorer. Маскируем имя файлового потока под одно из стандартных имён атрибутов NTFS, например, можно назвать файловый поток $DATA;
  3. Прописываем имя файла C:\file.dat в ключ реестра PagingFiles, чтобы система создала в этом файле файл подкачки;
  4. Перезагружаем компьютер.

После перезагрузки компьютера, доступ к файлу C:\file.dat окажется заблокирован системой, так как она использует его в качестве файла подкачки. Тем временем, файловый поток с криптоконтейнером останется нетронутым, он будет по-прежнему прикреплён к файлу. Получить у файла file.dat список файловых потоков во время работы системы будет невозможно. Значит, специальные утилиты по поиску файловых потоков не смогут его найти. Те программы, которые используют прямой доступ к диску, или работающие при отключенной системе (запущенные с LiveCD, например), смогут найти поток, но для этого имя файлового потока маскируется под системное имя $DATA. Во время работы системы никто не сможет прочитать содержимое файлового потока, так как основной файл-носитель блокирован.

Для того, чтобы вновь извлечь криптоконтейнер, нужно удалить запись о файле подкачки C:\file.dat из ключа PagingFiles, и перезагрузить компьютер. Файл вновь станет обычным файлом, а криптоконтейнер можно будет извлечь из него с помошью программы NTFS Stream Explorer.

См. также

Скрытое хранение данных в потоках файла $Repair в системном каталоге $RmMetadata



Автор: амдф
Дата: 22.09.2011







Copyright © 2016- Программирование Native API и расширенные возможности NTFS
По вопросам сотрудничества и другим вопросам по работе сайта пишите на cleogroup[собака]yandex.ru