Você pode encontrar muitas informações sobre isso Hiberfil.sys
na página ForensicWiki .
Embora a maioria das estruturas de dados necessárias para analisar o formato do arquivo esteja disponível nos símbolos de depuração do Microsoft Windows, a compactação usada (Xpress) não foi documentada até a engenharia reversa de Matthieu Suiche. Ele criou com Nicolas Ruff um projeto chamado Sandman é a única ferramenta de código aberto que pode ler e gravar o arquivo de hibernação do Windows.
O pdf do projeto Sandman é encontrado aqui .
Os criadores do projeto Sandman também criaram uma ferramenta para despejar a memória e o Hiberfil.sys
arquivo (e extraí-lo do formato de compressão XPress). MoonSols Windows Memory Toolkit
Alguns dos outros links da página ForensicWiki não funcionam mais, mas aqui encontrei um: (Se você quiser mergulhar diretamente na estrutura do formato, poderá usar este recurso. Para o cabeçalho, os primeiros 8192 bytes do arquivo, você não precisa descompactá-los)
Formato de arquivo de hibernação.pdf
Este último PDF e o último link na página ForensicWiki devem fornecer informações suficientes sobre a estrutura da Hiberfil.sys
.
Os arquivos de hibernação consistem em um cabeçalho padrão (PO_MEMORY_IMAGE), um conjunto de contextos e registros do kernel como CR3 (_KPROCESSOR_STATE) e várias matrizes de blocos de dados Xpress compactados / codificados (_IMAGE_XPRESS_HEADER e _PO_MEMORY_RANGE_ARRAY).
O cabeçalho padrão existe no deslocamento 0 do arquivo e é mostrado abaixo. Geralmente, o membro Signature deve ser "hibr" ou "wake" para ser considerado válido, no entanto, em casos raros, todo o cabeçalho PO_MEMORY_IMAGE foi zerado, o que pode impedir a análise do arquivo de hibernação na maioria das ferramentas. Nesses casos, a volatilidade usará um algoritmo de força bruta para localizar os dados necessários.
As referências nesses documentos devem fornecer muitas outras fontes para explorar também.