ハイバネーション・ファイルとは【用語集詳細】
ハイバネーション・ファイル(Hibernation File)は、Windowsにおいてコンピュータが休止(ハイバネーション)状態をとるときに生成されるファイルです。
休止モードにおいては、省電力の観点からメモリへの電源供給が停止され、蓄積された情報が失われます。このためOSはドライブ直下の「Hiberfil.sys」ファイルにシステム・メモリ情報を複製し、休止モードから復帰した際のメモリ・イメージ復旧に利用されます。
ハイバネーション・ファイルは、休止モードに入った時点でのメモリ情報を格納しているため、デジタル・フォレンジックにおける情報源の1つです。
Hiberfil.sysはシステムが実行ハンドルを保持しており、管理者によっても起動・閲覧ができないため、ツールを利用して抽出した後、メモリ・フォレンジックツールによって解析を行います。
よく利用されるツールにFTKImagerやVolatility、Magnet AXIOM、Passwareなどがあります。
