pagefile.sys
Qu'est-ce que pagefile.sys ?
pagefile.sysFichier d'echange de memoire virtuelle de Windows sur le volume systeme ; peut contenir des fragments de memoire de processus, identifiants, cles, lignes de commande et charges utiles dechiffrees.
pagefile.sys est le stockage disque de la memoire virtuelle Windows, generalement situe a la racine du volume et dimensionne dynamiquement par le systeme. Lorsque la RAM est sous pression, le gestionnaire memoire ecrit les pages sortantes des espaces utilisateur et noyau dans le pagefile, ou elles peuvent persister des jours voire des semaines. En forensique, le pagefile est non structure mais tres riche : le carving de chaines et les recherches par signature recuperent frequemment des identifiants en clair, des lignes de commande PowerShell, des charges utiles dechiffrees, des fragments de trafic HTTP et des extraits de ruches du registre. Les plugins Volatility compatibles pagefile, bulk_extractor et yarscan sur le fichier brut font ressortir des preuves absentes ailleurs sur le disque. Certaines configurations le chiffrent ou l'effacent a l'arret.
● Exemples
- 01
Recuperer la sortie de mimikatz et un hash d'admin de domaine depuis pagefile.sys.
- 02
Extraire des fragments de la configuration d'un beacon Cobalt Strike depuis une zone memoire paginee.
● Questions fréquentes
Qu'est-ce que pagefile.sys ?
Fichier d'echange de memoire virtuelle de Windows sur le volume systeme ; peut contenir des fragments de memoire de processus, identifiants, cles, lignes de commande et charges utiles dechiffrees. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie pagefile.sys ?
Fichier d'echange de memoire virtuelle de Windows sur le volume systeme ; peut contenir des fragments de memoire de processus, identifiants, cles, lignes de commande et charges utiles dechiffrees.
Comment fonctionne pagefile.sys ?
pagefile.sys est le stockage disque de la memoire virtuelle Windows, generalement situe a la racine du volume et dimensionne dynamiquement par le systeme. Lorsque la RAM est sous pression, le gestionnaire memoire ecrit les pages sortantes des espaces utilisateur et noyau dans le pagefile, ou elles peuvent persister des jours voire des semaines. En forensique, le pagefile est non structure mais tres riche : le carving de chaines et les recherches par signature recuperent frequemment des identifiants en clair, des lignes de commande PowerShell, des charges utiles dechiffrees, des fragments de trafic HTTP et des extraits de ruches du registre. Les plugins Volatility compatibles pagefile, bulk_extractor et yarscan sur le fichier brut font ressortir des preuves absentes ailleurs sur le disque. Certaines configurations le chiffrent ou l'effacent a l'arret.
Comment se défendre contre pagefile.sys ?
Les défenses contre pagefile.sys combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de pagefile.sys ?
Noms alternatifs courants : Fichier d'echange, Swap Windows.
● Termes liés
- forensics-ir№ 474
hiberfil.sys
Fichier d'hibernation Windows compresse qui stocke un instantane quasi complet de la memoire physique au moment de l'hibernation, donnant un acces forensique a la RAM depuis un systeme eteint.
- forensics-ir№ 766
Ordre de volatilite
Priorite d'acquisition definie par la RFC 3227 imposant aux intervenants forensiques de collecter d'abord les preuves les plus ephemeres avant qu'elles ne soient ecrasees ou perdues.
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 850
Fichiers Prefetch
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.