আপনার সম্পর্কে তথ্য অনেক খুঁজে পেতে পারেন Hiberfil.sys
উপর ForensicWiki পৃষ্ঠা ।
যদিও ফাইল ফর্ম্যাটটি বিশ্লেষণের জন্য প্রয়োজনীয় বেশিরভাগ ডেটা স্ট্রাকচার মাইক্রোসফ্ট উইন্ডোজ ডিবাগ প্রতীকগুলিতে পাওয়া যায়, তবে ম্যাথিউ সুয়েচের বিপরীতে ইঞ্জিনিয়ারিং না হওয়া অবধি ব্যবহৃত সংক্ষেপণ (এক্সপ্রেস) নথিভুক্ত ছিল। তিনি নিকোলাস রাফের সাহায্যে স্যান্ডম্যান নামে একটি প্রকল্প তৈরি করেছিলেন যা একমাত্র ওপেন-সোর্স সরঞ্জাম যা উইন্ডোজ হাইবারনেশন ফাইলটি পড়তে এবং লিখতে পারে।
প্রকল্পের Sandman থেকে এর পিডিএফ পাওয়া যায় এখানে ।
স্যান্ডম্যান প্রকল্পের নির্মাতারা মেমরি এবং Hiberfil.sys
ফাইলে (এবং এটি এক্সপ্রেস সংক্ষেপণ-বিন্যাস থেকে নিষ্কাশন) ডাম্প করার জন্য একটি সরঞ্জামও তৈরি করেছিলেন। মুনসোলস উইন্ডোজ মেমরি টুলকিট
ফরেনসিক উইকি-পৃষ্ঠার অন্যান্য লিঙ্কগুলির মধ্যে কিছু আর কাজ করে না তবে এখানে একটি পাওয়া গেছে: (আপনি যদি সরাসরি বিন্যাস-কাঠামোয় ডাইভ করতে চান তবে আপনি এই উত্সটি ব্যবহার করতে পারেন the শিরোনামের জন্য, প্রথমটি 8192 বাইটের ফাইল, আপনার এগুলি সঙ্কুচিত করার দরকার নেই)
হাইবারনেশন ফাইল ফর্ম্যাট.পিডিএফ
এই শেষ পিডিএফ এবং ফরেনসিক উইকি-পৃষ্ঠার শেষ লিঙ্কটি আপনাকে কাঠামোর কাঠামো সম্পর্কে পর্যাপ্ত তথ্য দেবে Hiberfil.sys
।
হাইবারনেশন ফাইলগুলিতে একটি স্ট্যান্ডার্ড শিরোনাম (PO_MEMORY_IMAGE), কার্নেল প্রসঙ্গের একটি সেট এবং CR3 (_KPROCESSOR_STATE) এবং সংক্ষেপিত / এনকোডড এক্সপ্রেস ডেটা ব্লক (_IMAGE_XPPress_HEADER এবং _PO_MEMORY_RANGE_ARRAY) এর বেশ কয়েকটি অ্যারে থাকে।
স্ট্যান্ডার্ড শিরোনামটি ফাইলের অফসেট 0 এ উপস্থিত থাকে এবং নীচে প্রদর্শিত হয়। সাধারণত, স্বাক্ষর সদস্যকে হয় "hibr" বা "জাগ্রত" বৈধ হিসাবে বিবেচনা করতে হবে, তবে বিরল ক্ষেত্রে পুরো PO_MEMORY_IMAGE শিরোনামটি শূন্য করা হয়েছে, যা বেশিরভাগ সরঞ্জামগুলিতে হাইবারনেশন ফাইল বিশ্লেষণকে রোধ করতে পারে। এই ক্ষেত্রে, অস্থিরতা এটির প্রয়োজনীয় ডেটা সনাক্ত করতে ব্রুট ফোর্স অ্যালগরিদম ব্যবহার করবে।
এই দস্তাবেজের উল্লেখগুলি আপনাকে অন্বেষণ করার জন্য প্রচুর পরিমাণে উত্স সরবরাহ করবে।