hiberfil.sys
Что такое hiberfil.sys?
hiberfil.sysСжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы.
При уходе в гибернацию или при завершении работы через Fast Startup ядро Windows записывает в C:\hiberfil.sys сжатый образ физической памяти и только потом отключает питание. Файл сжат алгоритмом Xpress-Huffman и содержит списки процессов, сетевые подключения, загруженные модули, структуры ядра и пользовательские данные именно в том виде, в каком они были на момент гибернации. Криминалисты распаковывают hiberfil.sys утилитами hibinfo из Volatility, hibr2bin или Hibernation Recon, после чего анализируют полученный raw-образ как дамп памяти. Это особенно ценно для выключенных хостов: можно извлечь сведения о процессах, инъектированном коде и учётных данных, которых иначе не вернуть. Современный Windows часто использует Hiberboot, и даже после обычного выключения остаётся пригодный hiberfil.
● Примеры
- 01
Восстановление дерева процессов активного ВПО из hiberfil.sys захваченного выключенного ноутбука.
- 02
Извлечение ключей сессии SSH в открытом виде из ядерной памяти, сохранённой при последней гибернации.
● Частые вопросы
Что такое hiberfil.sys?
Сжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает hiberfil.sys?
Сжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы.
Как защититься от hiberfil.sys?
Защита от hiberfil.sys обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия hiberfil.sys?
Распространённые альтернативные названия: Файл гибернации, Образ гибернации Windows.