【休眠文件取證基礎】

轉自：CNForensics

作者：胡壯

「休眠」是指Windows在關機前將內存主要數據寫回硬碟然後斷電關機，寫回硬碟的數據保存在一個名為「hiberfil.sys」的文件中，該文件一般位於系統分區的根目錄下，具有系統和隱藏屬性。再次開機即可喚醒休眠的系統，整個系統與上次休眠前的狀態一模一樣，打開的網頁，遊戲進度，全部都在。

與「休眠」類似的還有「睡眠」和「混合睡眠」兩種狀態。睡眠指的是數據還在內存中，但大多數進程停止，整個系統保持在低能耗運行狀態，直到用戶通過滑鼠鍵盤等方式喚醒。

睡眠狀態喚醒很快，卻有一個缺點：一旦突然斷電，會造成數據丟失。為了解決睡眠狀態的缺點，微軟還對台式電腦提供了混合睡眠狀態，顧名思義，同時進行休眠和睡眠，數據既有保存在hiberfil.sys，又存在於內存，喚醒速度和睡眠狀態一樣快而且不怕突然斷電。

通過上面的介紹，大家應該已經想到了，休眠文件中的數據應該和內存差不多啊？確實如此，內存中可以獲取到什麼數據，這裡面也有什麼數據，網頁，進程，文件，文件系統元數據……所以不少內存取證工具都支持hiberfil.sys文件（當然還有其他幾個內存相關文件）解析。不過微軟並沒有公開hiberfil.sys文件的內部結構，且不同系統下該文件結構也有差異，更重要的是，該文件中保存的數據是壓縮的，直接使用關鍵字搜索效果很糟。休眠文件的大小是確定的，休眠的時候保存的數據一般不會佔用整個文件的「容量」（體積），類似於文件系統，休眠文件中一般也會存在未被覆蓋的上次休眠數據、上上次休眠數據……與文件系統類似，休眠文件中還有slack區間，休眠文件中的數據又有slack區間。

總之，休眠文件結構複雜，數據量大，取證價值高，分析難度大大！以上就是休眠文件取證的背景。

補充：

對Windows休眠文件取證的背景，貌似大家都挺感興趣的，下面繼續聊聊相關的知識點吧。上文已經提到休眠文件hiberfil.sys中保存的是與內存相關的數據，實際上與內存取證相關的還有一個文件——pagefile.sys。該文件也在系統分區的根目錄下，擁有系統和隱藏屬性。pagefile.sys是虛擬內存文件，也叫頁面文件，當物理內存不夠用時，會用來「拓展」內存容量，所以其中也會有內存數據。hiberfil.sys中的數據是壓縮的，但pagefile.sys中的數據並未壓縮，解析難度小一些。如果觀察夠仔細的話，會在系統分區下發現同樣有系統和隱藏屬性的文件「swapfile.sys」，僅僅從文件名上看，很容易讓人聯想到Linux系統的swap分區，難道swapfile.sys的功能也和pagefile.sys一樣？其實不然。該文件從Windows8開始出現，保存的是應用商店中應用的數據，相當於微軟應用商店應用的pagefile.sys。一個不幸的消息是，雖然上面這三個文件中都有不少數據，但有時候會發現裡面並沒有數據，完全是空的。Mark也提到，對於硬碟為SSD的計算機，Windows會在每次關機后清除其中保存的數據，不過根據其具體功能，實際應該是關機前清除pagefile.sys、swapfile.sys數據，開機后清除hiberfil.sys。