hiberfil.sys
hiberfil.sys 是什么?
hiberfil.sysWindows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。
当 Windows 进入休眠或执行 Fast Startup 关机时,内核会在断电前将压缩后的物理内存映像写入 C:\hiberfil.sys。该文件采用 Xpress-Huffman 压缩,包含进入休眠时刻的进程列表、网络连接、加载模块、内核结构和用户态数据。取证人员使用 Volatility 的 hibinfo、hibr2bin 或 Hibernation Recon 等工具解压,得到的原始映像可按内存转储进行分析。当目标主机已关机时,这种方式尤为重要:可以挖掘进程、注入代码与凭据等通常无法恢复的证据。现代 Windows 常启用 Hiberboot,即使是正常关机也可能留下可用的 hiberfil。
● 示例
- 01
从查获的休眠笔记本电脑的 hiberfil.sys 中重建恶意软件的实时进程树。
- 02
从最近一次休眠的内核内存中提取明文 SSH 会话密钥。
● 常见问题
hiberfil.sys 是什么?
Windows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。 它属于网络安全的 取证与应急响应 分类。
hiberfil.sys 是什么意思?
Windows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。
hiberfil.sys 是如何工作的?
当 Windows 进入休眠或执行 Fast Startup 关机时,内核会在断电前将压缩后的物理内存映像写入 C:\hiberfil.sys。该文件采用 Xpress-Huffman 压缩,包含进入休眠时刻的进程列表、网络连接、加载模块、内核结构和用户态数据。取证人员使用 Volatility 的 hibinfo、hibr2bin 或 Hibernation Recon 等工具解压,得到的原始映像可按内存转储进行分析。当目标主机已关机时,这种方式尤为重要:可以挖掘进程、注入代码与凭据等通常无法恢复的证据。现代 Windows 常启用 Hiberboot,即使是正常关机也可能留下可用的 hiberfil。
如何防御 hiberfil.sys?
针对 hiberfil.sys 的防御通常结合技术控制与运营实践,详见上方完整定义。
hiberfil.sys 还有哪些其他名称?
常见的别称包括: 休眠文件, Windows 休眠镜像。
● 相关术语
- forensics-ir№ 787
pagefile.sys
位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。
- forensics-ir№ 766
易失性顺序 (Order of Volatility)
由 RFC 3227 定义的采集优先级,要求取证响应人员先收集最易失的证据,以免被覆盖或丢失。
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 850
Prefetch 文件
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。