据我所知,Rekall 和 Volatility 不支持 Windows 10 hiberfil.sys 分析。标有 Win 8/Win 10 的对应问题仍处于打开状态。
是否有任何工具(免费、付费、开源等)能够重建地址空间或将hiberfil.sys文件解压为纯二进制形式?
Windows 10 hiberfil.sys 文件分析工具
逆向工程
记忆
数字取证
2021-07-02 10:55:15
2个回答
我们最近为 Hibernation Recon 添加了一个“自由模式”,它将从您的 Windows 休眠文件(传统或现代格式)中提取活动内容到物理内存转储中。您还将获得与 hiberfil.sys 文件中各种 slack 相关的统计信息,以及活动内容和 slack 中有趣的 NTFS 元数据。
这是一个直接的下载链接:
https://arsenalrecon.com/apps/download/HibernationRecon_1.1.0.55_Beta.zip
这里有一些屏幕截图和更多信息:
https://arsenalrecon.com/apps/hibernation-recon/
我们将发布更新@ArsenalArmed。
看起来商业 EnCase Forensics从 7.12 版开始在某种程度上支持Windows 10(现在是 8 版)。你可能想和他们一起检查一下。
该Moonsols Windows内存工具包有一个名为“hibr2bin.exe”即能windows8的休眠文件转换为原始转储的工具,那些应该类似于windows10的,所以他们有工作的一个很好的机会。
此外,我在一年多前遇到了这条消息:
我们已经分析了 Windows 8 的 hiberfil.sys 文件格式,并将在一个月后发布一个解压缩器。任何想加入我们或想拥有解压器的人都可以发邮件给我们,flyingdreaming@bupt.edu.cn。
你可能想打他。