问您能从休眠的Windows机器中提取内存内容吗？

EN

是的，它确实将未加密的内容存储在磁盘上。它是C:\hiberfil.sys中的一个隐藏文件，它将始终在任何启用休眠的系统上创建。内容使用Xpress算法进行压缩，其文档可作为微软Word文档提供。Matthieu Suiche在2008年对其进行了全面的分析，将其作为BlackHat演示文稿，您可以使用作为PDF格式。还有一个叫做MoonSols Windows内存工具包的工具，它允许你转储文件的内容。但我不知道它是否能让你皈依回去。你可能得自己想个办法来做。

一旦获得数据，就可以提取或修改数据，包括说明。在缓解方面，最好的解决方案是使用全磁盘加密，如BitLocker或TrueCrypt。

只需启动计算机即可访问休眠映像的内容，计算机将恢复该映像。这毕竟是冬眠的全部意义。如果恢复不需要任何秘密，这意味着休眠映像是自成一体的，由于无法区分攻击者和合法用户，因此无法防止攻击者访问它。

恢复可能不能提供对所有东西的访问，例如，如果您回到屏幕解锁提示。创建休眠映像的副本将允许您多次引导它。您甚至可以尝试在虚拟机中引导它，尽管为了使恢复成功，您必须非常仔细地模拟原始硬件。

当然，访问写入休眠映像的数据的最佳方法是在不执行它的情况下读取数据(多项式答案有指向格式文档的指针)。

原则上可以加密休眠映像，但这需要用户界面的更改:某人必须在恢复时输入解密密钥(通常通过输入密码或插入智能卡)。据我所知，Windows不支持hibernation文件的加密，即使使用Bitlocker (常见问题是模棱两可的，这篇文章声称没有这样的特性)。TrueCrypt支持休眠文件的加密，Linux的休眠和磁盘加密机制也是如此。

请注意，加密的休眠映像对于窃取磁盘的攻击者是无用的，但它不抵抗邪恶女仆攻击，因为有人可以访问休眠系统，并且可以在引导映像中植入恶意软件，当合法用户出现并进入密码时将被激活。防范此类攻击需要验证引导加载程序(包括恢复工具)−的完整性，这与攻击系统的冷引导没有什么不同。

这种攻击是有可能的。文件名为"hiberfil.sys"，位于windows分区的根目录中。可以更改位置。Windows不加密休眠或交换(pagefile.sys)文件。为了避免这种离线攻击，应该使用全磁盘加密(系统驱动器和存储hiberfil.sys和pagefile.sys的驱动器，如果它们的位置已经更改)。