Fundamentos Forenses sobre el Archivo de Hibernación en Windows

Las computadoras algunas veces necesitan descansar, y pueden tomar una siesta como los seres humanos. A través de este proceso de “ciber siesta”, se pueden generar más potenciales pruebas, dependiendo de cuan “profunda” la computadora vaya a dormir. Los modos de “Dormir” o hibernación, guardan datos hacia el dispositivo de almacenamiento, en lugar de simplemente mantenerlo en la memoria RAM. Como se conoce, los datos escritos hacia el dispositivo de almacenamiento por si mismo, son más persistentes y pueden ser recuperados.

¿Cómo es posible los archivos eliminados aún puedan encontrarse aquí?. Para responder esto con un ejemplo; es un escenario relacionado con un sospechoso, este trabaja sobre un documento el día Lunes. El se aleja por un tiempo para realizar una llamada telefónica. Pone la computadora portátil en modo hibernación, lo cual causa la computadora guarde todo lo cual estaba haciendo hacia el dispositivo de almacenamiento. Cuando la persona regresa unos cinco minutos después, vuelve a activar la computadora portátil, y todo está tal y como lo ha dejado, incluyendo el documento.

Estado "Dormir" en Windows

En un sistema Windows, el “Dormir” utiliza muy poco poder, la computadora se inicia más rápido, e instantáneamente se regresa al estado dejado. No es necesario preocuparse de perder lo realizado, debido a la batería se agote, porque Windows automáticamente guardará todo lo realizado, y apagará la computadora en caso la batería esté muy baja. Se sugiere utilizar esta opción cuando se aleja de la computadora por un corto lapso de tiempo.

Estado Hibernar en Windows

Esta opción de Windows está diseñada para laptops, y podría no estar disponibles para computadoras de escritorio. La hibernación utiliza menos poder comparado con el “dormir”, y cuando se inicia la computadora nuevamente, se retornará al más reciente estado.

Se sugiere utilizar la hibernación cuando no se utilice la laptop durante largos periodos de tiempo, donde no se tendrá la oportunidad de cargar la batería durante este tiempo.

Archivo Hiberfil.sys

El archivo de nombre “hiberfil.sys”, es utilizado por defecto en Microsoft Windows para guardar el estado de una máquina, como parte del proceso de hibernación. El sistema operativo también mantiene un archivo abierto para gestionar este archivo, así ningún usuario incluyendo el administrador, puede leer el archivo mientras el sistema está en funcionamiento.

Es importante mencionar, el tamaño del archivo “hiberfil.sys” no es de un tamaño uno a uno con la memoria RAM disponible o total de la máquina.

Las estructuras de datos requeridas para interpretar el formato del archivo están disponibles en los símbolos para depuración de Microsoft Windows, incluyendo algunos de los diversos métodos de compresión utilizados.

Fuentes:

https://support.microsoft.com/en-us/help/13770/windows-shut-down-sleep-h...
https://www.forensicswiki.org/wiki/Hiberfil.sys
https://technical.nttsecurity.com/post/102dwiw/hibernation-and-page-file...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1