1.一種解析Windows操作系統(tǒng)的休眠數(shù)據(jù)的方法，其特征在于包括以下步驟:

S001:導(dǎo)入Windows操作系統(tǒng)的休眠文件；

S002:判斷所述Windows操作系統(tǒng)的休眠文件是否為Windows 8操作系統(tǒng)以下的版本，如果是，執(zhí)行步驟S005,否則執(zhí)行步驟S003；

S003:解析Windows操作系統(tǒng)的休眠文件，獲取第一引導(dǎo)恢復(fù)頁和第一內(nèi)核恢復(fù)頁，并獲取各自的恢復(fù)集合的偏移地址；

S004:解析恢復(fù)集合并獲取壓縮集合的數(shù)據(jù)，結(jié)束流程；步驟S004包括以下步驟:

S0041:每個恢復(fù)集合由多個壓縮集合組成，每個壓縮集合由16個4KB字節(jié)的物理內(nèi)存頁組成，獲取壓縮集合的數(shù)據(jù)，每個壓縮集合以壓縮集合頭結(jié)構(gòu)為起始標(biāo)識；

S0042:所述壓縮集合頭結(jié)構(gòu)的前8字節(jié)表示頁描述符page descriptor的數(shù)量，其中，所述數(shù)量等于0或大于16，表示當(dāng)前Windows操作系統(tǒng)的休眠文件已損壞；

S0043:所述頁描述符后連續(xù)22字節(jié)位表示壓縮數(shù)據(jù)的大小，若所述壓縮數(shù)據(jù)的大小等于壓縮集合中物理內(nèi)存頁數(shù)量，則表示所述物理內(nèi)存頁的數(shù)據(jù)未壓縮，否則，表示所述物理內(nèi)存頁的數(shù)據(jù)被壓縮；

S005:提取Windows操作系統(tǒng)的休眠數(shù)據(jù)；

S006:獲取并解析Windows操作系統(tǒng)的休眠數(shù)據(jù)的壓縮塊；步驟S006包括以下步驟:

S0061:每個數(shù)據(jù)集由多個壓縮塊組成，每個壓縮塊是長度為4KB字節(jié)的物理內(nèi)存頁，每個壓縮塊以鏡像頭結(jié)構(gòu)為起始標(biāo)識；

S0062:所述鏡像頭結(jié)構(gòu)的前8字節(jié)表示簽名字段，其值等于\x81\x81xpress；

S0063:所述簽名字段后連續(xù)10字節(jié)表示未壓縮頁，其值表示未壓縮的物理頁數(shù)；

S0064:所述未壓縮頁后連續(xù)22字節(jié)表示壓縮塊的數(shù)據(jù)大小，其中，若所述壓縮塊的數(shù)據(jù)大小是4KB的整數(shù)倍，則表示壓縮塊的數(shù)據(jù)未經(jīng)壓縮，否則表示壓縮塊中數(shù)據(jù)被壓縮。