คุณสามารถค้นหาข้อมูลจำนวนมากเกี่ยวกับHiberfil.sys
บนหน้า ForensicWiki
แม้ว่าโครงสร้างข้อมูลส่วนใหญ่ที่จำเป็นในการแยกวิเคราะห์รูปแบบไฟล์จะมีอยู่ในสัญลักษณ์การดีบักของ Microsoft Windows แต่การบีบอัดที่ใช้ (Xpress) นั้นไม่มีการทำเอกสารจนกว่าจะได้รับการออกแบบโดย Matthieu Suiche เขาสร้างด้วย Nicolas Ruff โครงการที่ชื่อว่าSandmanเป็นเครื่องมือโอเพนซอร์ซเดียวที่สามารถอ่านและเขียนไฟล์ hibernation ของ Windows
รูปแบบไฟล์ PDF ของโครงการแซนด์แมนพบที่นี่
ผู้สร้างโครงการ Sandman ยังสร้างเครื่องมือในการถ่ายโอนข้อมูลหน่วยความจำและHiberfil.sys
-file (และแยกออกจากรูปแบบการบีบอัด XPress) ชุดเครื่องมือหน่วยความจำ Windows MoonSols
ลิงก์อื่น ๆ บางส่วนในหน้า ForensicWiki ไม่ทำงานอีกต่อไป แต่นี่คือสิ่งที่ฉันพบ: (หากคุณต้องการดำดิ่งลงในโครงสร้างรูปแบบคุณสามารถใช้ทรัพยากรนี้สำหรับส่วนหัว 8192 ไบต์แรกของ ไฟล์คุณไม่จำเป็นต้องคลายการบีบอัด)
Format ของไฟล์การไฮเบอร์เนต
นี้รูปแบบไฟล์ PDF ที่ผ่านมาและการเชื่อมโยงสุดท้ายใน ForensicWiki Hiberfil.sys
หน้าควรให้ข้อมูลที่เพียงพอเกี่ยวกับโครงสร้างของ
ไฟล์การไฮเบอร์เนตประกอบด้วยส่วนหัวมาตรฐาน (PO_MEMORY_IMAGE) ชุดของบริบทเคอร์เนลและการลงทะเบียนเช่น CR3 (_KPROCESSOR_STATE) และหลายอาร์เรย์ของบล็อกข้อมูล Xpress ที่บีบอัดและเข้ารหัส (_IMAGE_XPRESS_HEADER และ _PO_MEMORY_RANGE_ARRAY)
ส่วนหัวมาตรฐานมีอยู่ที่ออฟเซ็ต 0 ของไฟล์และแสดงอยู่ด้านล่าง โดยทั่วไปสมาชิกลายเซ็นจะต้องเป็น "hibr" หรือ "wake" เพื่อให้ถูกต้องอย่างไรก็ตามในกรณีที่เกิดขึ้นได้ยากส่วนหัว PO_MEMORY_IMAGE ทั้งหมดได้ถูกทำให้เป็นศูนย์ซึ่งสามารถป้องกันการวิเคราะห์ไฟล์ไฮเบอร์เนตในเครื่องมือส่วนใหญ่ ในกรณีดังกล่าวความผันผวนจะใช้อัลกอริทึมแรงเดรัจฉานเพื่อค้นหาข้อมูลที่ต้องการ
การอ้างอิงในเอกสารเหล่านั้นควรให้แหล่งข้อมูลอื่น ๆ แก่คุณมากมายในการสำรวจเช่นกัน