pagefile.sys.

システムボリューム上の Windows 仮想メモリスワップファイル。プロセスメモリの断片(資格情報・鍵・コマンドライン・復号済みペイロードなど)を含み得る。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

システムボリューム上の Windows 仮想メモリスワップファイル。プロセスメモリの断片(資格情報・鍵・コマンドライン・復号済みペイロードなど)を含み得る。

pagefile.sys は Windows の仮想メモリのディスク上バックストアで、通常はボリュームのルートに置かれ、サイズはシステムが動的に調整します。物理 RAM が逼迫すると、メモリマネージャはユーザー空間およびカーネル空間のページアウトされたページを pagefile に書き出し、それらは何日〜何週間も残ることがあります。pagefile はフォレンジック上は非構造ですが内容は非常に豊かで、文字列カービングや署名ベースの検索により、平文の資格情報、PowerShell のコマンドライン、復号済みマルウェアペイロード、HTTP トラフィックの断片、レジストリハイブの断片などを頻繁に回収できます。pagefile 対応の Volatility プラグイン、bulk_extractor、生ファイルへの yarscan によって、ディスクの他の場所には残らない証拠が浮かび上がります。シャットダウン時に暗号化または消去する設定もあります。

pagefile.sys に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: ページファイル, Windows スワップ。