hiberfile.sys文件和用第三方软件制作的Volatility.py转储有什么不同吗？

Question

当我试图分析被恶意软件感染的活动Windows机器时，我想知道如何给我的一个朋友一些建议。

据我所知，休眠保存内存内容并将它们压缩到hiberfile.sys文件中。但也有第三方工具，如Belkasoft RAM捕获器，它读取整个RAM和保存文件。

问题是:这两个内存转储之间有什么区别吗？在取证方面，哪一个更“详细”或“更好、更多”？

Answer 1

进入冬眠时：

1. 通知应用程序和服务
2. 通知司机
3. 用户和系统状态以压缩格式保存到磁盘中。
4. 已通知固件

(根据微软在系统功率状态上的文档。)

如果应用程序或rootkit是这样设计的，它可以尝试隐藏或清理自己，以响应电源状态的变化。在步骤1和步骤2之后有一个超时时间，允许应用程序和驱动程序为暂停/终止做准备。

这种通知是有意的，也是必要的:应用程序/服务可能跨越多个系统，驱动程序必须计划存储在易失性设备内存上的数据丢失。类似的通知发生在系统关闭之前，尽管状态代码不同。

在某些情况下，以取证为导向的工具可能会避免“泄露”恶意软件。国家行为者的恶意软件也有可能检测到常见的法医工具。

我预计中等复杂的无盘恶意软件将响应电源状态的变化，但它可能无法检测取证工具。所以总的来说，我希望偶尔能看到使用它的好处。然而，我个人不能谈论这一特定工具的完整性或可靠性。