Anda dapat menemukan banyak informasi tentang Hiberfil.sys
di halaman ForensicWiki .
Meskipun sebagian besar struktur data yang diperlukan untuk mem-parsing format file tersedia dalam simbol debug Microsoft Windows, kompresi yang digunakan (Xpress) tidak didokumentasikan hingga terbalik direkayasa oleh Matthieu Suiche. Dia membuat dengan Nicolas Ruff sebuah proyek bernama Sandman adalah satu-satunya alat open-source yang dapat membaca dan menulis file hibernasi Windows.
Pdf proyek Sandman ditemukan di sini .
Pembuat proyek Sandman juga menciptakan alat untuk membuang memori dan Hiberfil.sys
-file (dan mengekstraknya dari format kompresi XPress). MoonSols Windows Memory Toolkit
Beberapa tautan lain pada halaman ForensicWiki tidak berfungsi lagi tetapi ini adalah salah satu yang saya temukan: (Jika Anda ingin terjun langsung ke dalam format-struktur, Anda dapat menggunakan sumber ini. Untuk header, 8192 byte pertama dari file, Anda tidak perlu mengompres mereka)
Hibernation File Format.pdf
PDF terakhir ini dan tautan terakhir pada halaman ForensicWiki akan memberi Anda informasi yang cukup tentang struktur Hiberfil.sys
.
File hibernasi terdiri dari header standar (PO_MEMORY_IMAGE), satu set konteks kernel dan register seperti CR3 (_KPROCESSOR_STATE) dan beberapa array blok data Xpress yang dikompresi / disandikan (_IMAGE_XPRESS_HEADER dan _PO_MEMORY_RANGE_ARRAY).
Header standar ada di offset 0 file dan ditunjukkan di bawah ini. Secara umum, anggota Signature harus "hibr" atau "wake" agar dianggap valid, namun dalam kasus yang jarang seluruh header PO_MEMORY_IMAGE telah di-nolkan, yang dapat mencegah analisis file hibernasi di sebagian besar alat. Dalam kasus tersebut, volatilitas akan menggunakan algoritma brute force untuk menemukan data yang dibutuhkan.
Referensi dalam dokumen-dokumen itu harus memberi Anda banyak sumber lain untuk dijelajahi juga.