[TrustSeg]

Hi,

gibt es irgendeine Möglichkeit die Datei hyberfil.sys freizugeben ohne einen Umweg z. B. über eine Live-CD? Wird die Datei von Windows gelöscht / neu angelegt wenn Windows neu gestartet wird oder muss ich das unbedingt über einen Reset machen?

[Mr. Floppy]

Was meinst Du denn mit freigeben? Wenn Du die Datei loswerden willst, mußt Du den Ruhezustand deaktivieren:

Zitat

powercfg -h off

Dieser Beitrag wurde von Mr. Floppy bearbeitet: 19. Februar 2012 - 13:57

[TrustSeg]

Freigeben: lesbar / kopierbar / zugreifbar machen

Ich will sie nicht löschen und ich will den Ruhezustand nicht deaktivieren.

[Mr. Floppy]

Versteh mich nicht falsch, aber was soll das bringen? Erst nach dem Wechsel in den Ruhezustand, steht da was Sinnvolles drin. Und dann läuft das System eh nicht mehr, um noch was kopieren zu können.

[TrustSeg]

Ich hatte einige Fenster mit nicht gespeicherten Daten drin (einige Texte, die ich vergessen hatte zu speichern) und hatte den Rechner in den Ruhezustand geschickt. Heute beim Einschalten konnte er aus irgendeinem Grund den Zustand nicht wiederherstellen und hat neu gebootet. Ich nehme an, dass er beim Starten die Datei nicht überschrieben hat, oder irre ich mich? Ich will die Texte aus der Datei rausholen aber dafür muss ich Zugriff drauf haben.

[Wiesel]

Das wird nicht funktionieren. Das ist ja keine iso die man auspacken kann und schon hat mal alles was sich im RAM befand.

greets

[TrustSeg]

Das weiß ich. Ich bin Programmierer und schaffe das schon.

Nichts für ungut, aber ich hatte eine ganz einfache, kurze, verständliche Frage gestellt und nicht gefragt, wie man Daten da rausholt. Auch meine Gründe sind hier irrelevant. Es wäre nett, wenn man sich vielleicht auf meine Eingangsfrage beschränkt.

Wie gesagt, ist nicht böse gemeint. Aber ich möchte nur wissen, ob man an die Datei bei laufendem Windows kommt. Alles andere interessiert mich nicht.

[Mr. Floppy]

Dann lautet die Antwort nein. Selbst Virenscanner haben keinen Zugriff auf die Datei und die graben sich schon ziemlich tief ins System ein. Aber was hindert Dich daran, die Datei mit einem Live-System auszulesen? Wie Wiesel schon sagte, kommt man auch nicht so leicht an die Daten ran. Die hiberfile.sys müßte erst entpackt und dann durchsucht werden. Es gibt wohl Forensiktools, die das können.

[TrustSeg]

Zitat (Mr. Floppy: 19. Februar 2012 - 15:18)

Dann lautet die Antwort nein.

Danke für die Antwort.

Zitat (Mr. Floppy: 19. Februar 2012 - 15:18)

Aber was hindert Dich daran, die Datei mit einem Live-System auszulesen?

Nichts. Hatte ich ja schon im ersten Post geschrieben. Bin mir aber nicht sicher, ob beim Herunterfahren des Systems die Datei geleert / überschrieben wird. Ich habe dummerweise keinen Reset button. Müsste den Stecker ziehen. Daher die Frage, ob Windows sie beim Beenden anrührt.

Zitat (Mr. Floppy: 19. Februar 2012 - 15:18)

Wie Wiesel schon sagte, kommt man auch nicht so leicht an die Daten ran. Die hiberfile.sys müßte erst entpackt und dann durchsucht werden.

Ich bezweifle stark, dass man die überhaupt entpacken kann. Falls ich mich nicht irre, wird der Arbeitsspeicher 1 zu 1 als dump da reingeschrieben. Aber es ist nicht das erste Mal, dass ich sie auslese...

Dieser Beitrag wurde von TrustSeg bearbeitet: 19. Februar 2012 - 15:29

[Mr. Floppy]

Die hiberfil.sys wird nur beim Wechsel in den Ruhezustand überschrieben. Ansonsten bleibt sie unangetastet. Du kannst also ohne Probleme runterfahren oder neustarten.

Die Datei wird teilweise gepackt. Das ist ein etwas seltsames Konzept, aber es ist kein 1:1 Dump (klick).

Viel Glück bei der Datenrettung!

[TrustSeg]

Dankeschön für die Info, Mr. Floppy! Der Artikel ist schon mal hilfreich. Die unkodierten Daten, die ich suchte hab ich bereits gefunden. Ein paar andere noch nicht. Da schreibe ich vielleicht ein Tool, dass sie extrahiert.

[DK2000]

So einen hiberfil.sys reader/dumoer wurde ja mal mit dem Projekt Sandmann verwirklicht. Leider scheint da niemand mehr die Open Source Version weiter zu entwickeln und das ganz scheint dann auch in den MoonSols Windows Memory Toolkit aufgegangen zu sein, welches aber leider zum Teil kostenpflichtig ist.

Die letzte Open Source Version vom Sandman scheint wohl die hier zu sein: Projekt Sandmann

Eventuell kam man damit etwas anfangen.

[TrustSeg]

Das ist natürlich noch besser. Danke, ich werde da mal reingucken.