Вы можете найти много информации о Hiberfil.sys
на странице ForensicWiki .
Хотя большинство структур данных, необходимых для анализа формата файла, доступны в символах отладки Microsoft Windows, используемое сжатие (Xpress) не было документировано до тех пор, пока Matthieu Suiche не разработало его обратно. Он создал вместе с Николасом Руффом проект под названием Sandman - единственный инструмент с открытым исходным кодом, который может читать и записывать файл гибернации Windows.
PDF-файл проекта Sandman находится здесь .
Создатели проекта Sandman также создали инструмент для сброса памяти и Hiberfil.sys
-file (и извлечения его из формата сжатия XPress). MoonSols Windows Memory Toolkit
Некоторые другие ссылки на ForensicWiki-странице больше не работают, но я нашел одну: (Если вы хотите погрузиться прямо в структуру формата, вы можете использовать этот ресурс. Для заголовка, первые 8192 байта файл, распаковывать их не нужно)
Формат файла гибернации.pdf
Этот последний PDF и последняя ссылка на ForensicWiki-странице должны дать вам достаточно информации о структуре Hiberfil.sys
.
Файлы гибернации состоят из стандартного заголовка (PO_MEMORY_IMAGE), набора контекстов и регистров ядра, таких как CR3 (_KPROCESSOR_STATE) и нескольких массивов сжатых / кодированных блоков данных Xpress (_IMAGE_XPRESS_HEADER и _PO_MEMORY_RANGE_ARRAY).
Стандартный заголовок существует по смещению 0 файла и показан ниже. Как правило, элемент Signature должен быть либо «hibr», либо «wake», чтобы считаться действительным, однако в редких случаях весь заголовок PO_MEMORY_IMAGE обнуляется, что может помешать анализу файла гибернации в большинстве инструментов. В этих случаях волатильность будет использовать алгоритм грубой силы, чтобы найти необходимые данные.
Ссылки в этих документах должны дать вам много других источников для изучения тоже.