pagefile.sys
Was ist pagefile.sys?
pagefile.sysDie Windows-Auslagerungsdatei fuer virtuellen Speicher auf dem Systemvolume; sie kann Fragmente von Prozessspeicher enthalten, etwa Credentials, Schluessel, Kommandozeilen und entschluesselte Payloads.
pagefile.sys ist die Plattenablage des virtuellen Speichers von Windows, meist im Wurzelverzeichnis des Volumes, mit dynamischer Groesse. Steht der physische RAM unter Druck, schreibt der Memory Manager ausgelagerte Seiten aus Benutzer- und Kernel-Adressraum in die Pagefile, wo sie oft Tage bis Wochen persistieren. Forensisch ist die Datei unstrukturiert, aber inhaltlich reich: String-Carving und signaturbasierte Suche foerdern haeufig Klartext-Credentials, PowerShell-Kommandozeilen, entschluesselte Malware-Payloads, HTTP-Fragmente und Registry-Auszuege zutage. Pagefile-bewusste Volatility-Plugins, bulk_extractor und yarscan auf der Rohdatei liefern Belege, die sonst nirgendwo auf der Platte existieren. Manche Konfigurationen verschluesseln oder leeren die Pagefile beim Herunterfahren.
● Beispiele
- 01
Wiederherstellung der Mimikatz-Ausgabe und eines Domain-Admin-Hashs aus pagefile.sys.
- 02
Carven von Fragmenten einer Cobalt-Strike-Beacon-Konfiguration aus einer ausgelagerten Speicherregion.
● Häufige Fragen
Was ist pagefile.sys?
Die Windows-Auslagerungsdatei fuer virtuellen Speicher auf dem Systemvolume; sie kann Fragmente von Prozessspeicher enthalten, etwa Credentials, Schluessel, Kommandozeilen und entschluesselte Payloads. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet pagefile.sys?
Die Windows-Auslagerungsdatei fuer virtuellen Speicher auf dem Systemvolume; sie kann Fragmente von Prozessspeicher enthalten, etwa Credentials, Schluessel, Kommandozeilen und entschluesselte Payloads.
Wie funktioniert pagefile.sys?
pagefile.sys ist die Plattenablage des virtuellen Speichers von Windows, meist im Wurzelverzeichnis des Volumes, mit dynamischer Groesse. Steht der physische RAM unter Druck, schreibt der Memory Manager ausgelagerte Seiten aus Benutzer- und Kernel-Adressraum in die Pagefile, wo sie oft Tage bis Wochen persistieren. Forensisch ist die Datei unstrukturiert, aber inhaltlich reich: String-Carving und signaturbasierte Suche foerdern haeufig Klartext-Credentials, PowerShell-Kommandozeilen, entschluesselte Malware-Payloads, HTTP-Fragmente und Registry-Auszuege zutage. Pagefile-bewusste Volatility-Plugins, bulk_extractor und yarscan auf der Rohdatei liefern Belege, die sonst nirgendwo auf der Platte existieren. Manche Konfigurationen verschluesseln oder leeren die Pagefile beim Herunterfahren.
Wie schützt man sich gegen pagefile.sys?
Schutzmaßnahmen gegen pagefile.sys kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für pagefile.sys?
Übliche alternative Bezeichnungen: Auslagerungsdatei, Windows-Swap.
● Verwandte Begriffe
- forensics-ir№ 474
hiberfil.sys
Komprimierte Windows-Ruhezustandsdatei mit einem fast vollstaendigen Snapshot des physischen Speichers zum Zeitpunkt des Hibernate; ermoeglicht forensischen RAM-Zugriff auf einem ausgeschalteten System.
- forensics-ir№ 766
Order of Volatility
In RFC 3227 festgelegte Erfassungsreihenfolge, die Incident-Respondern vorschreibt, die fluechtigsten Beweise zuerst zu sichern, bevor sie ueberschrieben oder verloren gehen.
- forensics-ir№ 043
Amcache.hve
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
- forensics-ir№ 677
MFT (Master File Table)
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
- forensics-ir№ 850
Prefetch-Dateien
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.