Bạn có thể tìm thấy rất nhiều thông tin về Hiberfil.sys
trên trang ForensicWiki .
Mặc dù hầu hết các cấu trúc dữ liệu cần thiết để phân tích định dạng tệp có sẵn trong các biểu tượng gỡ lỗi của Microsoft Windows, việc nén được sử dụng (Xpress) không được ghi nhận cho đến khi nó được Matthieu Suiche thiết kế ngược. Ông đã tạo ra với Nicolas Ruff một dự án có tên Sandman là công cụ nguồn mở duy nhất có thể đọc và ghi tệp ngủ đông Windows.
Pdf của dự án Sandman được tìm thấy ở đây .
Những người tạo ra dự án Sandman cũng tạo ra một công cụ để kết xuất bộ nhớ và Hiberfil.sys
-file (và trích xuất nó từ định dạng nén XPress). Bộ công cụ bộ nhớ Windows MoonSols
Một số liên kết khác trên trang ForensicWiki không hoạt động nữa nhưng đây là một liên kết tôi tìm thấy: (Nếu bạn muốn đi thẳng vào cấu trúc định dạng, bạn có thể sử dụng tài nguyên này. Đối với tiêu đề, 8192 byte đầu tiên của tập tin, bạn không cần giải nén chúng)
Định dạng tệp ngủ đông.pdf
Bản PDF cuối cùng này và liên kết cuối cùng trên trang ForensicWiki sẽ cung cấp cho bạn đủ thông tin về cấu trúc của Hiberfil.sys
.
Các tệp ngủ đông bao gồm một tiêu đề tiêu chuẩn (PO_MEMORY_IMAGE), một tập hợp các bối cảnh và thanh ghi kernel như CR3 (_KPROCESSOR_STATE) và một số mảng của khối dữ liệu Xpress được nén / mã hóa (_IMAGE_XPRESS_HEADER và _PO_M_
Tiêu đề tiêu chuẩn tồn tại ở offset 0 của tệp và được hiển thị bên dưới. Nói chung, thành viên Chữ ký phải là "hibr" hoặc "đánh thức" để được coi là hợp lệ, tuy nhiên trong một số trường hợp hiếm hoi, toàn bộ tiêu đề PO_MEMORY_IMAGE đã bị loại bỏ, điều này có thể ngăn phân tích tệp ngủ đông trong hầu hết các công cụ. Trong những trường hợp đó, sự biến động sẽ sử dụng thuật toán vũ phu để xác định vị trí dữ liệu cần thiết.
Các tài liệu tham khảo trong các tài liệu đó sẽ cung cấp cho bạn nhiều nguồn khác để khám phá.