Entry № 531
hiberfil.sys
hiberfil.sys 是什么?
hiberfil.sysWindows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。
当 Windows 进入休眠或执行 Fast Startup 关机时,内核会在断电前将压缩后的物理内存映像写入 C:\hiberfil.sys。该文件采用 Xpress-Huffman 压缩,包含进入休眠时刻的进程列表、网络连接、加载模块、内核结构和用户态数据。取证人员使用 Volatility 的 hibinfo、hibr2bin 或 Hibernation Recon 等工具解压,得到的原始映像可按内存转储进行分析。当目标主机已关机时,这种方式尤为重要:可以挖掘进程、注入代码与凭据等通常无法恢复的证据。现代 Windows 常启用 Hiberboot,即使是正常关机也可能留下可用的 hiberfil。
● 示例
- 01
从查获的休眠笔记本电脑的 hiberfil.sys 中重建恶意软件的实时进程树。
- 02
从最近一次休眠的内核内存中提取明文 SSH 会话密钥。
● 常见问题
hiberfil.sys 是什么?
Windows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。 它属于网络安全的 取证与应急响应 分类。
hiberfil.sys 是什么意思?
Windows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。
如何防御 hiberfil.sys?
针对 hiberfil.sys 的防御通常结合技术控制与运营实践,详见上方完整定义。
hiberfil.sys 还有哪些其他名称?
常见的别称包括: 休眠文件, Windows 休眠镜像。