hiberfil.sys.

Windows の圧縮済み休止状態ファイル。休止時点の物理メモリのほぼ完全なスナップショットを保持し、電源を切ったシステムからでも RAM 内容にフォレンジックでアクセスできる。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

Windows の圧縮済み休止状態ファイル。休止時点の物理メモリのほぼ完全なスナップショットを保持し、電源を切ったシステムからでも RAM 内容にフォレンジックでアクセスできる。

Windows が休止状態または高速スタートアップによるシャットダウンを行う際、カーネルは電源断の前に物理メモリの圧縮イメージを C:\hiberfil.sys に書き込みます。ファイルは Xpress-Huffman 圧縮で、休止時点のプロセス一覧、ネットワーク接続、ロード済みモジュール、カーネル構造体、ユーザーランドデータをそのまま保持します。フォレンジック担当者は Volatility の hibinfo、hibr2bin、Hibernation Recon などで展開し、得られた生イメージをメモリダンプとして扱います。電源オフ状態で押収されたホストでは、プロセス・注入コード・資格情報など、他では復元できない証拠を得られる点で特に有用です。最近の Windows では Hiberboot により通常のシャットダウンでも利用可能な hiberfil が残ることがあります。

hiberfil.sys に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: 休止状態ファイル, Windows ハイバネーションイメージ。