是否有能够重构地址空间或将
hiberfil.sys文件解压缩为纯二进制格式的工具(免费,付费,开源,任何工具)? #1 楼
我们最近在“休眠侦查”中添加了“自由模式”,它将从Windows休眠文件(传统或现代格式)中提取活动内容到物理内存转储中。您还将获得与hiberfil.sys文件中的各种松弛以及活动内容和松弛中有趣的NTFS元数据有关的统计信息。这里有直接下载链接:
https://arsenalrecon.com/apps/download/HibernationRecon_1.1.0.55_Beta.zip
此处有一些屏幕截图和更多信息:
https://arsenalrecon.com / apps / hibernation-recon /
我们将发布更新@ArsenalArmed。
#2 楼
从7.12版本开始,商业EnCase Forensics似乎在某种程度上支持Windows 10(现在为8)。您可能想和他们一起检查一下。Moonsols Windows内存工具包具有一个名为“ hibr2bin.exe”的实用程序,该实用程序可以将Windows8休眠文件转换为原始转储,这些文件应类似于Windows10的文件。 ,因此他们很有可能工作。
此外,我在一年多以前还遇到了以下消息:
我们已经分析了hiberfil。 Windows 8的sys文件格式,一个月后将发布Decompressor。任何想加入我们或想拥有解压缩器的人都可以发邮件给我们,flyingdreaming @ bupt.edu.cn。
您可能想打他。
评论
不,EnCase不支持它,我没有找到任何EnScript可以做到这一点。在支持Windows 7的描述信息中,链接到Moonsols看起来很奇怪。我已经搜索了一下,Moon Suiche仍然拥有Moonsols。
– Nikita
16-10-11在22:06
提及的波动性问题已合并到第25期中,不幸的是它仍然开放。
– Nikita
16-10-11在22:08
感谢您的更正,已编辑。我仅针对我引用的消息链接到该问题。
– NirIzr
16-10-11在22:11
@Nikita过去,我已经对VMWare的一种文件格式进行了逆向工程以提高其波动性,因此我猜测对于休眠文件而言,这样做并不难。
– NirIzr
16-10-18在1:06
评论
$ 400 arsenalrecon.com/apps/hibernation-recon来源:forensicswiki.org/wiki/Hiberfil.sysHibr2Bin似乎支持Windows10。