Windows (Windows XP, Windows 7 veya Windows 8 çalıştırılan dizüstü bilgisayarlar) işletim sisteminde bilgisayarı hazırda bekletme için oluşturulmuş bir ikili dosyadır. Bu dosyalar temel olarak “uykuya geçme” işleminde Windows’ta bulunan belleğin sıkıştırılmamış ayrıntılı bellek görüntüsüdür. Adli bilişimde şüphelinin hazırda bekletmeden önce makine hakkında önemli bilgiler içerir. Bu bilgiler uykuya geçmeden önce ve sonraki tüm süreçleri, açık uygulama listeleri, açık uyulama hakkındaki bilgiler, videolar, fotoğraflar, ağ bağlantılarını olmak üzere önemli tarih bilgilerini saklar. Bu bilgileri sistemde bulunan sonrasında silinmiş ya da kendisini silmiş malware (kötü yazılım) içeriği hakkında bilgi tutabilir. Sistemde malware bulunabileceğine dair önemli bilgiler verir, bu bilgiler hazırda beklet seçeneğinde arka planda çalışmaya devam eden programları görüntüleyerek elde edebiliriz. Bu dosya hazırda bekletme işlemini yaptığı anda çalışan tüm programları saklar, diskleri durdurur, ekran kartı kapanır ve kullanıcı tekrar bilgisayarı açtığında dosyalarını kullandığı programı da aynı durumda kullanmaya devam edebilir.

Hiberfile.sys dosyası Windows OS tarafından oluşturulur, yönetilir. Hiberfil.sys dosyaları kök dizininde ( C:\) bulunur. Hiberfil.sys dosyası gizli ve işletim sistemi tarafından korunan bir dosyadır, C:\ kök dizininde hibefil.sys dosyası gözükmez, dosyayı görebilmek için aşağıdaki işlemler yapılır.

1)Kök dizini içinde Görünüm>Gizli ögeler işaretlenir.

2) Seçenekler sekmesine tıklayın ve ardından Görünüm sekmesinden “Korunan işletim sistemi dosyaları” seçeneğinin işaretini kaldırınız.

Hiberfil.sys Dosyası Silinebilir Mi?

Hazırda bekletme sırasında çalışan programlar ve yapılan işlemlere bağlı olarak hiberfil.sys dosyası büyük boyutlara ulaşabilir. Depolama alanının azalmasıyla hiberfil.sys dosyasının bilgisayar içinde depolama alanının çoğunluğunu kullandığını fark edebilirsiniz.

Hiberfil.sys dosyasını silmek için Windows üzerinde hazırda beklet seçeneğini kapatmanız gerekmektedir. Bu işlemi komut satırı ya da Windows ayarları üzerinden yapabilirsiniz. Bu işlem hazırda beklet seçeneğini kapatmak için yapılır, dosyayı silmek için kullanılmaz.

Hazırda Beklet Seçeneğini Komut Satırı Üzerinden Kapatma

CMD’Yİ “Yönetici olarak çalıştır” seçin.

Komut satırına “powercfg –h off” yazılır ve hazırda beklet seçeneği kapatılır. Hazıra beklet işlemini açmak için “powercfg –h on” yazılarak açılabilir.

Hazırda Beklet Seçeneğini Windows Ayarlar Üzerinden Kapatma

  1. Arama çubuğunda “Güç ve uyku ayarları” yazın.
  2. Ek güç ayarları seçeneğini seçin.
  3. Güç düğmelerinin yapacaklarını seçin

4.Şuan kullanılmayan ayarları değiştirin seçin.

5.“Hazırda Beklet” seçeneğini kapatın.

Hiberfil.sys dosyaının silinmesi sistemde herhangi bir problem yaratmayacaktır. Bilgisayarınızda “Hazırda Beklet” kullanmıyorsanız kapatabilirsiniz.

Hiberfil.sys Dosyasının Dışarı Çıkartılması

Hiberfil.sys dosyasının çıkartılması için FTK Imager kullanabilirsiniz.

FTK Imager ile kendi diskinizi seçin ve devam edin.

Adli bilişimde hiberfil.sys dosyasının incelemesini eğer şüpheli bir bilgisayar üzerinden yapacaksanız bunun için bilgisayarın fiziksel sürücüsünü çıkartmanız gereklidir. Hedef sabit sürücüyü Linux iş istasyonu aracılığıyla imajını alabilirisiniz.

Hiberfil.sys dosyasını dışarı çıkartın.

Hiberfil.sys Dosyasının İncelenmesi

Hiberfil.sys dosyasını ücretsiz veya ücretli yazılımlar üzerinden incelenebilmektedir.

Magnet Axiom İle Hiberfil.sys Dosyasının İncelenmesi

Magnet Axiom ile hiberfil.sys dosyasını bellek dökümü seçeneği ile açabiliriz.

Bilgisayar>Windows>Kanıtı Yükle<Bellek Dökümü seçeneklerini seçilir, kanıt yüklenir ve işlem başlatılır.

Hiberfil.sys dosyasının içinden çıkan bilgiler:

  • Tarayıcı üzerinden yapılan işlemler kullanıcıların girmiş olduğu siteler ve aratmış oldukları girdiler bulunmaktadır.
  • Sohbet, bulunan veride kullanıcıların PC üzerine kurmuş olduğu mesajlaşma, mail vb. uygulamalarla gelen sohbet içerikleri bulunmaktadır.
  • Medya, bilgisayar içinde bulunan programlardan gelen icon vb. görüntüler, kullanıcıların kullandığı görseller veya kullanıcıların indirmiş olduğu görsel ve videolar bu kısımda bulunur. Bulunan veriler kullanıcının kullanmış olduğu programlara göre dizinlerin altına yerleştirilebilir.
  • Belgeler, kullanıcının bilgisayarı üzerinde bulunan dökümanların “.pdf” “.doc” vb. şekilde  gelmektedir. Bu dosyalar bazen türüne bağlı olarak içeriği görüntülenemeyebilir.
  • İşletim sistemi, LNK dosyaları, Windows içinde önbelleğe alınmış dosyalar, olay günlükleri ve bu olay günlüklerinin sistem, hizmet , kullanıcı olayları olarak sıralanmış olarak gelmektedir.