hiberfil.sys
Qu'est-ce que hiberfil.sys ?
hiberfil.sysFichier d'hibernation Windows compresse qui stocke un instantane quasi complet de la memoire physique au moment de l'hibernation, donnant un acces forensique a la RAM depuis un systeme eteint.
Lorsque Windows hiberne ou effectue un arret Fast Startup, le noyau ecrit une image compressee de la memoire physique dans C:\hiberfil.sys avant l'extinction. Le fichier utilise la compression Xpress-Huffman et contient listes de processus, connexions reseau, modules charges, structures du noyau et donnees utilisateur dans l'etat exact au moment de l'hibernation. Les analystes decompressent hiberfil.sys avec hibinfo de Volatility, hibr2bin ou Hibernation Recon puis traitent l'image brute comme un dump memoire. C'est particulierement utile lorsqu'on saisit un poste eteint : on obtient des preuves sur les processus, le code injecte et les identifiants autrement irrecuperables. Windows moderne utilise souvent Hiberboot, si bien qu'un arret normal peut laisser un hiberfil exploitable.
● Exemples
- 01
Reconstituer l'arbre de processus d'un malware actif depuis hiberfil.sys apres saisie d'un portable ferme.
- 02
Extraire des cles de session SSH en clair de la memoire noyau capturee lors de la derniere hibernation.
● Questions fréquentes
Qu'est-ce que hiberfil.sys ?
Fichier d'hibernation Windows compresse qui stocke un instantane quasi complet de la memoire physique au moment de l'hibernation, donnant un acces forensique a la RAM depuis un systeme eteint. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie hiberfil.sys ?
Fichier d'hibernation Windows compresse qui stocke un instantane quasi complet de la memoire physique au moment de l'hibernation, donnant un acces forensique a la RAM depuis un systeme eteint.
Comment fonctionne hiberfil.sys ?
Lorsque Windows hiberne ou effectue un arret Fast Startup, le noyau ecrit une image compressee de la memoire physique dans C:\hiberfil.sys avant l'extinction. Le fichier utilise la compression Xpress-Huffman et contient listes de processus, connexions reseau, modules charges, structures du noyau et donnees utilisateur dans l'etat exact au moment de l'hibernation. Les analystes decompressent hiberfil.sys avec hibinfo de Volatility, hibr2bin ou Hibernation Recon puis traitent l'image brute comme un dump memoire. C'est particulierement utile lorsqu'on saisit un poste eteint : on obtient des preuves sur les processus, le code injecte et les identifiants autrement irrecuperables. Windows moderne utilise souvent Hiberboot, si bien qu'un arret normal peut laisser un hiberfil exploitable.
Comment se défendre contre hiberfil.sys ?
Les défenses contre hiberfil.sys combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de hiberfil.sys ?
Noms alternatifs courants : Fichier d'hibernation, Image d'hibernation Windows.
● Termes liés
- forensics-ir№ 787
pagefile.sys
Fichier d'echange de memoire virtuelle de Windows sur le volume systeme ; peut contenir des fragments de memoire de processus, identifiants, cles, lignes de commande et charges utiles dechiffrees.
- forensics-ir№ 766
Ordre de volatilite
Priorite d'acquisition definie par la RFC 3227 imposant aux intervenants forensiques de collecter d'abord les preuves les plus ephemeres avant qu'elles ne soient ecrasees ou perdues.
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 850
Fichiers Prefetch
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.