pagefile.sys
¿Qué es pagefile.sys?
pagefile.sysArchivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados.
pagefile.sys es el almacen en disco de la memoria virtual de Windows; suele estar en la raiz del volumen y el sistema lo dimensiona dinamicamente. Cuando la RAM esta bajo presion, el gestor de memoria escribe paginas del espacio de usuario y del kernel al pagefile, donde pueden persistir dias o semanas. Forensicamente es desestructurado pero muy rico: el carving de cadenas y la busqueda por firmas suele recuperar credenciales en texto claro, lineas de comando de PowerShell, payloads de malware descifrados, fragmentos de trafico HTTP o secciones de colmenas del registro. Los plugins de Volatility con soporte de pagefile, bulk_extractor y yarscan sobre el archivo crudo aportan evidencias que no existen en ningun otro lugar del disco. Algunas configuraciones tambien lo cifran o limpian al apagado.
● Ejemplos
- 01
Recuperar la salida de mimikatz y un hash de admin de dominio desde pagefile.sys.
- 02
Extraer fragmentos de la configuracion de un beacon de Cobalt Strike a partir de una region paginada.
● Preguntas frecuentes
¿Qué es pagefile.sys?
Archivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa pagefile.sys?
Archivo de intercambio de memoria virtual de Windows en el volumen del sistema; puede contener fragmentos de memoria de procesos, credenciales, claves, lineas de comando y payloads descifrados.
¿Cómo funciona pagefile.sys?
pagefile.sys es el almacen en disco de la memoria virtual de Windows; suele estar en la raiz del volumen y el sistema lo dimensiona dinamicamente. Cuando la RAM esta bajo presion, el gestor de memoria escribe paginas del espacio de usuario y del kernel al pagefile, donde pueden persistir dias o semanas. Forensicamente es desestructurado pero muy rico: el carving de cadenas y la busqueda por firmas suele recuperar credenciales en texto claro, lineas de comando de PowerShell, payloads de malware descifrados, fragmentos de trafico HTTP o secciones de colmenas del registro. Los plugins de Volatility con soporte de pagefile, bulk_extractor y yarscan sobre el archivo crudo aportan evidencias que no existen en ningun otro lugar del disco. Algunas configuraciones tambien lo cifran o limpian al apagado.
¿Cómo defenderse de pagefile.sys?
Las defensas contra pagefile.sys combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para pagefile.sys?
Nombres alternativos comunes: Archivo de paginacion, Swap de Windows.
● Términos relacionados
- forensics-ir№ 474
hiberfil.sys
Archivo de hibernacion comprimido de Windows que guarda una instantanea casi completa de la memoria fisica en el momento de la hibernacion, permitiendo acceso forense a la RAM de un sistema apagado.
- forensics-ir№ 766
Orden de volatilidad
Prioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 850
Archivos Prefetch
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.