hiberfil.sys
Что такое hiberfil.sys?
hiberfil.sysСжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы.
При уходе в гибернацию или при завершении работы через Fast Startup ядро Windows записывает в C:\hiberfil.sys сжатый образ физической памяти и только потом отключает питание. Файл сжат алгоритмом Xpress-Huffman и содержит списки процессов, сетевые подключения, загруженные модули, структуры ядра и пользовательские данные именно в том виде, в каком они были на момент гибернации. Криминалисты распаковывают hiberfil.sys утилитами hibinfo из Volatility, hibr2bin или Hibernation Recon, после чего анализируют полученный raw-образ как дамп памяти. Это особенно ценно для выключенных хостов: можно извлечь сведения о процессах, инъектированном коде и учётных данных, которых иначе не вернуть. Современный Windows часто использует Hiberboot, и даже после обычного выключения остаётся пригодный hiberfil.
● Примеры
- 01
Восстановление дерева процессов активного ВПО из hiberfil.sys захваченного выключенного ноутбука.
- 02
Извлечение ключей сессии SSH в открытом виде из ядерной памяти, сохранённой при последней гибернации.
● Частые вопросы
Что такое hiberfil.sys?
Сжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает hiberfil.sys?
Сжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы.
Как работает hiberfil.sys?
При уходе в гибернацию или при завершении работы через Fast Startup ядро Windows записывает в C:\hiberfil.sys сжатый образ физической памяти и только потом отключает питание. Файл сжат алгоритмом Xpress-Huffman и содержит списки процессов, сетевые подключения, загруженные модули, структуры ядра и пользовательские данные именно в том виде, в каком они были на момент гибернации. Криминалисты распаковывают hiberfil.sys утилитами hibinfo из Volatility, hibr2bin или Hibernation Recon, после чего анализируют полученный raw-образ как дамп памяти. Это особенно ценно для выключенных хостов: можно извлечь сведения о процессах, инъектированном коде и учётных данных, которых иначе не вернуть. Современный Windows часто использует Hiberboot, и даже после обычного выключения остаётся пригодный hiberfil.
Как защититься от hiberfil.sys?
Защита от hiberfil.sys обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия hiberfil.sys?
Распространённые альтернативные названия: Файл гибернации, Образ гибернации Windows.
● Связанные термины
- forensics-ir№ 787
pagefile.sys
Файл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки.
- forensics-ir№ 766
Порядок волатильности
Приоритет сбора, определённый RFC 3227: криминалисты обязаны фиксировать наиболее эфемерные свидетельства первыми, пока они не перезаписаны и не утрачены.
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 850
Файлы Prefetch
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.