Hiberfil.sys

Aus IT-Forensik Wiki

hiberfil.sys ist eine Systemdatei in Microsoft Windows, die primär für den Ruhezustand (Hibernate) und ab Windows 8 auch für den Schnellstartmodus (Fast Startup) verwendet wird. Sie dient dazu, den Inhalt des Arbeitsspeichers (RAM) auf die Festplatte zu schreiben, sodass der Systemzustand beim späteren Einschalten vollständig wiederhergestellt werden kann. Die Datei ist standardmäßig im Root-Verzeichnis der Systempartition vorhanden und wird vom Betriebssystem automatisch verwaltet.

Funktionsweise

Wenn sich der Hibernate-Modus aktiviert, wird der komplette RAM inklusive zugehöriger Prozesse sowie der Status des Systems in die hiberfil.sys geschrieben. So kann der Energieverbrauch reduziert und Datenverlust minimiert werden. Beim Einschalten liest Windows den RAM-Inhalt wieder ein, sodass der Betrieb fortgesetzt werden kann.

Zweck

  • Persistente Sicherung des RAM-Inhalts
  • Unterstützung des Schnellstarts (ab Windows 8)
  • Vollständige Wiederaufnahme des Systems

Der Speicherort unter Windows befindet sich auf dem Laufwerk C:\hiberfil.sys. Die Dateigröße beträgt üblicherweise 40–100% des physischen Arbeitsspeichers, abhängig von der Windows-Version und Systemkonfiguration (Standardwert: ca. 75% des RAM, kann über powercfg angepasst werden).

Deaktivierung und Aktivierung

Wenn der Ruhezustand oder Schnellstart nicht verwendet wird, kann die Datei gelöscht werden.

Deaktivieren:

  • CMD-Befehl: powercfg -h off
  • → Ruhezustand wird deaktiviert, Datei wird automatisch entfernt.

Aktivieren:

• CMD-Befehl: powercfg -h on • → Datei wird neu erstellt, Schnellstart wieder aktivierbar. Hinweis: Administratorrechte sind zwingend erforderlich.

Technische Aspekte

zu beachten

  • hiberfil.sys ist eine geschützte NTFS-Systemdatei mit den Attributen System und Hidden.
  • Enthält ein komprimiertes RAM-Abbild im Hibernation File Format (Hiberfil).
  • Kein direkter Zugriff möglich – nur durch das Betriebssystem nutzbar.
  • Seit Windows 10 werden RAM-Daten zusätzlich komprimiert, um Platz zu sparen.

Da hiberfil.sys den gesamten Inhalt des Arbeitsspeichers speichert, kann sie sensible Daten enthalten:

  • Passwörter, Chatverläufe, temporäre Dateien
  • Schlüsselmaterial (z.B. TLS, BitLocker)
  • Inhalte verschlüsselter Dokumente (im Klartext)

Quellen:

1. Medium - https://medium.com/@denizxk/how-to-extract-and-analyze-windows- hibernation-file-7be1cc761788, abgerufen am 6.7.2025

2. IONOS - https://www.ionos.com/digitalguide/server/configuration/deleting-and- disabling-hiberfilsys/, abgerufen am 6.7.2025

3. MiniTool - https://de.minitool.com/bib/hiberfil-sys-020.html, abgerufen am 6.7.2025

4. Windows Tweaks - https://www.windows-tweaks.info/anleitung/auslagerungsdatei-in-windows-10-11-einstellen/, abgerufen am 6.7.2025

Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Hiberfil.sys&oldid=3249