hiberfil.sys
hiberfil.sys
ကွန်ပျူတာ Sleep ဖြစ်တဲ့အခြေအနေမှာ Power Saving လုပ်တဲ့အနေနဲ့ ကွန်ပျူတာမှာ လုပ်နေတဲ့ အလုပ်အားလုံးက RAM ပေါ်ကိုရောက်သွားပါတယ်။ ဒါပေမဲ့ Sleep အနေထားက ကွန်ပျူတာ ပါဝါမရှိတော့ရင် Ram ပေါ်ကိုခုနက သိမ်းထားတဲ့ အချက်အလက်တွေအားလုံးပျောက်သွားနိုင်ပါတယ်။ Hibernate Mode မှာတော့ လက်ရှိ ကွန်ပျူတာမှာ လုပ်နေတဲ့ Process တွေကို Non-Volatile Information ဖြစ်တဲ့ Storage ထဲမှာသွားပြီး သိမ်းထားပါတယ်။ ပါဝါ မရှိတော့ရင် အချက်အလက်တွေ မပျောက်ဖို့ဖြစ်ပါတယ်။
Hybrid Sleep ကို Window 10,11 တင်ထားတဲ့ Desktop ကွန်ပျူတာတွေမှာ Default အနေ နဲ့ဖြစ်နေပါတယ်။ Hibernate Mode နဲ့ Sleep Mode နှစ်ခုပေါင်းထားခြင်းဖြစ်ပါတယ်။ Desktop ကွန်ပျူတာတွေမှာ Power Backup မရှိတဲ့အတွက်ပါ။ နောက်ပိုင်း Laptop တွေမှာတော့ modern standby /connected standby ဖြစ်လာပါတယ်။ Fast startup Mode ကတော့ Window 10,11 မှာ Boot Time မြန်အောင် ပြုလုပ်ပေးတာဖြစ်ပါတယ်။
Hybrid Sleep Mode, Hibernate Mode, Fast Startup Mode တွေမှာ Running ဖြစ်နေတဲ့ အလုပ်တွေကို Non-Volatile Information ဖြစ်တဲ့ ကွန်ပျူတာ Storage ထဲမှာ hiberfil.sys အနေနဲ့သွားပြီး သိမ်းထားပါတယ်။ Hybrid Sleep Mode, Hibernate Mode တွေကနေ ပြန်တက်လာတဲ့အခါမှာ hiberfil.sys ကိုအသုံးပြုပြီး အလုပ်လုပ်ပါတယ်။ hiberfil.sys က Forensics Image လုပ်တဲ့ Tools တွေကနေကြည့်ရင် Window ရဲ့ Root အောက်မှာရှိပါတယ်။ Window မှာဆိုရင်တော့ C:\ အောက်မှာ Hindden File အနေနဲ့ရှိပါတယ်။ Window Running ဖြစ်နေတဲ့အချိန်မှာ hiberfil.sys ကိုကူးယူလို့မရပါဘူး။
TrueCrypt/VeraCrypt, BitLocker, BitLocker + TPM အတွက် Key တွေက Sleep Mode အနေအထားမှာ RAM ပေါ်မှာရှိနေမှာဖြစ်ပါတယ်။ Hybrid Sleep Mode, Hibernate Mode အနေအထားမှာတော့ hiberfil.sys ထဲမှာရှိနေနိုင်ပါတယ်။ ကန့်သတ်ချက်တစ်ခုကတော့ TrueCrypt/VeraCrypt ရဲ့ Advance Setting ပဲဖြစ်ပါတယ်။ TrueCrypt/VeraCrypt ရဲ့ Default Setting ကတော့ BitLocker နဲ့ဆင်တူပါတယ်။
hiberfil.sys က Pagefile.sys လိုပဲ Non-Volatile Information ဖြစ်ပါတယ်။ ဒါကြောင့် Power Off သွားရင်လဲ Computer Storage ထဲမှာရှိနေမှာဖြစ်ပါတယ်။ TrueCrypt/VeraCrypt, BitLocker, BitLocker + TPM အတွက် hiberfil.sys File ကိုအသုံးပြုပြီး Decrypt လုပ်နိုင်ပါတယ်။
Comments