Windowsハイバネーションファイル（hiberfil.sys）を読み取ってデータを抽出する方法は？

Hiberfil.sysに関する多くの情報は ForensicWikiページ にあります。

ファイル形式の解析に必要なデータ構造のほとんどはMicrosoftWindowsデバッグシンボルで利用できますが、使用される圧縮（Xpress）は、MatthieuSuicheによってリバースエンジニアリングされるまで文書化されていませんでした。彼はNicolasRuffと一緒に、Sandmanというプロジェクトを作成しました。これはWindowsの休止状態ファイルを読み書きできる唯一のオープンソースツールです。

プロジェクトサンドマンのPDFが見つかりました ここ 。

Sandmanプロジェクトの作成者は、メモリとHiberfil.sysファイルをダンプする（そしてXPress圧縮形式から抽出する）ツールも作成しました。 MoonSols Windowsメモリツールキット

ForensicWikiページの他のリンクのいくつかはもう機能しませんが、ここに私が見つけたものがあります:(フォーマット構造に直接飛び込みたい場合は、このリソースを使用できます。ヘッダーには、ヘッダーの最初の8192バイトファイル、あなたはそれらを解凍する必要はありません）

ハイバネーションファイル形式.pdf

ForensicWikiページのこの最後のPDFおよび 最後のリンク は、Hiberfil.sysの構造に関する十分な情報を提供するはずです。

ハイバネーションファイルは、標準ヘッダー（PO_MEMORY_IMAGE）、CR3（_KPROCESSOR_STATE）などのカーネルコンテキストとレジスタのセット、および圧縮/エンコードされたXpressデータブロックのいくつかの配列（_IMAGE_XPRESS_HEADERと_PO_MEMORY_RANGE_ARRAY）で構成されます。

標準ヘッダーはファイルのオフセット0に存在し、以下に示されています。通常、Signatureメンバーは、有効と見なされるために「hibr」または「wake」のいずれかである必要がありますが、まれにPO_MEMORY_IMAGEヘッダー全体がゼロになっているため、ほとんどのツールで休止状態ファイルを分析できません。これらの場合、ボラティリティはブルートフォースアルゴリズムを使用して、必要なデータを特定します。

これらのドキュメントの参照は、他にも多くの情報源を提供するはずです。