pagefile.sys
¿Qué es pagefile.sys?
pagefile.sysArchivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados.
pagefile.sys es el almacen en disco de la memoria virtual de Windows; suele estar en la raiz del volumen y el sistema lo dimensiona dinamicamente. Cuando la RAM esta bajo presion, el gestor de memoria escribe paginas del espacio de usuario y del kernel al pagefile, donde pueden persistir dias o semanas. Forensicamente es desestructurado pero muy rico: el carving de cadenas y la busqueda por firmas suele recuperar credenciales en texto claro, lineas de comando de PowerShell, payloads de malware descifrados, fragmentos de trafico HTTP o secciones de colmenas del registro. Los plugins de Volatility con soporte de pagefile, bulk_extractor y yarscan sobre el archivo crudo aportan evidencias que no existen en ningun otro lugar del disco. Algunas configuraciones tambien lo cifran o limpian al apagado.
● Ejemplos
- 01
Recuperar la salida de mimikatz y un hash de admin de dominio desde pagefile.sys.
- 02
Extraer fragmentos de la configuracion de un beacon de Cobalt Strike a partir de una region paginada.
● Preguntas frecuentes
¿Qué es pagefile.sys?
Archivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa pagefile.sys?
Archivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados.
¿Cómo defenderse de pagefile.sys?
Las defensas contra pagefile.sys combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para pagefile.sys?
Nombres alternativos comunes: Archivo de paginacion, Swap de Windows.