Режем “по-живому”. Как вытащить файл, используемый операционкой?

WinHEX

Привет всем. Сегодня я расскажу небольшую хитрость, как можно вытащить используемый операционкой файл прямо у неё из-под носа. В каких случаях это может быть нужно?

Области применения

  1. Вытащить весь файл реестра. Не секрет, что некоторые узлы реестра заблокированы на чтение при работающей операционке и просмотреть их не получится. Есть, конечно, выход – загрузиться с LiveCD, перейти в каталог %system32%\config\ и забрать нужный куст реестра в виде файла. Но это очень неудобно – записывать диск или флешку, перезагружаться, потом обратно…
  2. Работать с используемыми системными файлами, например, теневыми копиями (да и вообще, каталогом System Volume Information), по умолчанию туда доступа нет, но в редких случаях его нужно организовать.
  3. Нужно вытащить “сердце” и “печень” Windows – файлы pagefile.sys и hiberfile.sys. Зачем? Например поискать там ключи от примонтированного криптоконтейнера, как описано в статье по взлому TrueCrypt.

Как прочитать нужный файл

Для того, чтобы обратиться к нужному файлу, нужно пойти в обход стандартного драйвера файловой системы. Приведу два способа, выберите наиболее удобный (они оба хороши).

Hex-редактор WinHEX

Открываем уже привычный нам (по циклу статей про FAT) 16-ричный редактор WinHEX, выполняем “Open Disk” и открываем наш локальный системный диск. Дожидаемся, пока сделается Snapshot  (снимок состояния) файловой системы и перейдём в нужную папку.

Затем кликаем правой кнопкой мыши на интересующем нас файлы и выбираем “Recover/Copy” и выбираем целевую папку, куда скопировать данный файл.

WinHEX
WinHEX

Программа восстановления данных R-Studio

Тоже хороший способ – открываем наш диск, дожидаемся обхода файловой системы и переходим в целевой каталог. Затем просто “Восстанавливаем” файл в любую директорию на диске.

R-Studio
R-Studio

Оба эти инструмента позволяют полазить в “кишках” операционки, вплоть даже вытащить живые файлы pagefile.sys или hyberfil.sys.

Надеюсь, кому-то данный способ покажется полезным! Удачи. И не забывайте подписываться на нас Вконтакте, чтобы не пропустить новую статью!

На правах рекламы позволю себе порекомендовать читателям отличный Интернет-магазин компьютерной техники. Есть реально практически всё, да и ценник приятный! Вот ссылка: Preon.

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply