hiberfil.sys
¿Qué es hiberfil.sys?
hiberfil.sysArchivo de hibernacion comprimido de Windows que guarda una instantanea casi completa de la memoria fisica en el momento de la hibernacion, permitiendo acceso forense a la RAM de un sistema apagado.
Cuando Windows hiberna o realiza un apagado Fast Startup, el kernel escribe una imagen comprimida de la memoria fisica en C:\hiberfil.sys antes de apagar. El archivo usa compresion Xpress-Huffman y contiene listas de procesos, conexiones de red, modulos cargados, estructuras del kernel y datos de usuario tal como existian en el momento de hibernar. Los forenses descomprimen hiberfil.sys con herramientas como hibinfo de Volatility, hibr2bin o Hibernation Recon, y tratan la imagen resultante como un volcado de memoria. Es especialmente util cuando se encuentra el equipo apagado: aporta evidencia sobre procesos, codigo inyectado y credenciales que de otro modo seria irrecuperable. En Windows moderno suele usarse Hiberboot, por lo que incluso apagados normales pueden dejar un hiberfil util.
● Ejemplos
- 01
Reconstruir el arbol de procesos de un malware activo desde hiberfil.sys tras incautar un portatil cerrado.
- 02
Extraer claves de sesion SSH en claro de la memoria del kernel capturada durante la ultima hibernacion.
● Preguntas frecuentes
¿Qué es hiberfil.sys?
Archivo de hibernacion comprimido de Windows que guarda una instantanea casi completa de la memoria fisica en el momento de la hibernacion, permitiendo acceso forense a la RAM de un sistema apagado. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa hiberfil.sys?
Archivo de hibernacion comprimido de Windows que guarda una instantanea casi completa de la memoria fisica en el momento de la hibernacion, permitiendo acceso forense a la RAM de un sistema apagado.
¿Cómo funciona hiberfil.sys?
Cuando Windows hiberna o realiza un apagado Fast Startup, el kernel escribe una imagen comprimida de la memoria fisica en C:\hiberfil.sys antes de apagar. El archivo usa compresion Xpress-Huffman y contiene listas de procesos, conexiones de red, modulos cargados, estructuras del kernel y datos de usuario tal como existian en el momento de hibernar. Los forenses descomprimen hiberfil.sys con herramientas como hibinfo de Volatility, hibr2bin o Hibernation Recon, y tratan la imagen resultante como un volcado de memoria. Es especialmente util cuando se encuentra el equipo apagado: aporta evidencia sobre procesos, codigo inyectado y credenciales que de otro modo seria irrecuperable. En Windows moderno suele usarse Hiberboot, por lo que incluso apagados normales pueden dejar un hiberfil util.
¿Cómo defenderse de hiberfil.sys?
Las defensas contra hiberfil.sys combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para hiberfil.sys?
Nombres alternativos comunes: Archivo de hibernacion, Imagen de hibernacion de Windows.
● Términos relacionados
- forensics-ir№ 787
pagefile.sys
Archivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados.
- forensics-ir№ 766
Orden de volatilidad
Prioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 850
Archivos Prefetch
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.