Как читать файл гибернации Windows (hiberfile.представление sys) для извлечения данных?

вы можете найти много информации об Hiberfil.sys на ForensicWiki страницы.

хотя большинство структур данных, необходимых для анализа формата файла доступно в для Windows отладочные символы, используемые сжатия (Экспресс) нелегалкой, пока она не была обратной инженерии Матье Suiche. Он создал с Николасом Раффом проект под названием Sandman это единственный инструмент с открытым исходным кодом, который может читать и писать окна файл гибернации.

pdf проекта Sandman найден здесь.

создатели проекта Sandman также создали инструмент для дампа памяти и Hiberfil.sys-file (и извлечь его из формата сжатия XPress). Moonsols Windows Memory Toolkit

другие ссылки на ForensicWiki-страница не работает больше, но вот один я нашел: (Если вы хотите окунуться в формат-структура вы можете использовать это ресурс. Для заголовка, первые 8192 байта файла, распаковывать их не нужно)

Формат Файла Гибернации.pdf

этот последний PDF и последняя ссылка на ForensicWiki-страница должна дать вам достаточно информации о структуре Hiberfil.sys.

Hibernation файлы состоят из стандартного заголовка (PO_MEMORY_IMAGE), набор контекстов ядра и регистров, таких как CR3 (_KPROCESSOR_STATE) и несколько массивы сжатых / закодированных блоков данных Xpress (_IMAGE_XPRESS_HEADER и _PO_MEMORY_RANGE_ARRAY).

стандартный заголовок существует со смещением 0 файла и показан ниже. Как правило, член подписи должен быть либо "hibr", либо "wake", чтобы считаться действительным, однако в редких случаях весь заголовок PO_MEMORY_IMAGE был обнулен, что может помешать анализу файла спящего режима в большинстве инструментов. В тех случаях, волатильность будет использовать алгоритм грубой силы, чтобы найти нужны данные.

ссылки в этих документах должны дать вам множество других источников для изучения.