Das hier angekündigte SandMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten. Derzeit werden die Hibernate-Dateien der 32Bit Versionen von Windows XP bis Windows 2008 Server unterstützt.
Das SandMan-Framework kann hier heruntergeladen werde, die Doku befindet sich hier.
Tags: Computer Forensik, Live Response, RAM Analyse, Windows Forensics
