Ruhezustandsdatei hyperfil.sys mit X-Ways aufbereiten

Dieser Artikel beschäftigt sich mit der Datei hyperfil.sys, welche durch Windows bei der Benutzung des „Ruhezustands“ verwendet wird. Welche Details Sie beachten müssen und wie Sie X-Ways Forensics korrekt anwenden erfahren Sie im folgenden Text.

Wurde die hyperfil.sys verwendet

Eine Auswertung macht  natürlich nur Sinn, wenn die Datei auch verwendet wurde. Denn eine reine Existenz weist noch auf keine Verwendung hin.

Suche Sie nach der Hex-Zeichenkette

8181787072657373

in der hyperfil.sys. Dazu markieren Sie die Datei und wählen die Ansicht „Datei“ bzw. „File“. Jetzt rufen Sie per STRG+ALT+X die Hex-Suche auf.

 

Ist der gesuchte String in der Datei vorhanden können Sie davon ausgehen das der Ruhezustand genutzt wurde.

 

Aufbereitung mit X-Ways

Die Hyperfil.sys ist komprimiert und kann so nicht direkt verwendet werden.

  1. Exportieren Sie die hyperfil.sys aus den Fall
  2. Öffnen Sie die Datei und setzen Sie den „Editormodus“ auf editierbar.
  3. Im Dateimenü Konvertieren | Hiberfil.sys Dekompression anwählen
  4. Das konvertierte Ergebnis abspeichern
  5. Bei Bedarf Hiberfil.sys im Image selektieren und im Kontextmenü „Externe Datei anhängen“ auswählen.

 

Schritt 3:

 

Verwendung mit X-Ways

Öffnen Sie die unkomprimierte Hiberfil.sys-Datei als „Speicherabbild / Memory-Dump“. Es kann nun beispielsweise bequem über die Datei-Header Suche nach Netzwerkpaketen gesucht werden oder eine Indizierung durchgeführt werden.