pagefile.sys
O que é pagefile.sys?
pagefile.sysArquivo de swap de memoria virtual do Windows no volume do sistema; pode conter fragmentos de memoria de processos, credenciais, chaves, linhas de comando e payloads decifrados.
pagefile.sys e o backing store em disco da memoria virtual do Windows, geralmente na raiz do volume e dimensionado dinamicamente. Quando a RAM esta sob pressao, o gerenciador de memoria escreve paginas removidas dos espacos de usuario e kernel no pagefile, onde podem persistir por dias ou semanas. Forensicamente o pagefile e nao estruturado mas rico: carving de strings e buscas por assinatura recuperam frequentemente credenciais em texto claro, linhas de comando do PowerShell, payloads de malware decifrados, fragmentos de trafego HTTP e trechos de colmeias de registro. Plugins do Volatility com suporte a pagefile, bulk_extractor e yarscan sobre o arquivo cru revelam evidencias inexistentes em outras partes do disco. Algumas configuracoes tambem o criptografam ou limpam no desligamento.
● Exemplos
- 01
Recuperar a saida do mimikatz e um hash de admin de dominio a partir do pagefile.sys.
- 02
Extrair fragmentos da configuracao de um beacon Cobalt Strike de uma regiao paginada de memoria.
● Perguntas frequentes
O que é pagefile.sys?
Arquivo de swap de memoria virtual do Windows no volume do sistema; pode conter fragmentos de memoria de processos, credenciais, chaves, linhas de comando e payloads decifrados. Pertence à categoria Forense e resposta da cibersegurança.
O que significa pagefile.sys?
Arquivo de swap de memoria virtual do Windows no volume do sistema; pode conter fragmentos de memoria de processos, credenciais, chaves, linhas de comando e payloads decifrados.
Como funciona pagefile.sys?
pagefile.sys e o backing store em disco da memoria virtual do Windows, geralmente na raiz do volume e dimensionado dinamicamente. Quando a RAM esta sob pressao, o gerenciador de memoria escreve paginas removidas dos espacos de usuario e kernel no pagefile, onde podem persistir por dias ou semanas. Forensicamente o pagefile e nao estruturado mas rico: carving de strings e buscas por assinatura recuperam frequentemente credenciais em texto claro, linhas de comando do PowerShell, payloads de malware decifrados, fragmentos de trafego HTTP e trechos de colmeias de registro. Plugins do Volatility com suporte a pagefile, bulk_extractor e yarscan sobre o arquivo cru revelam evidencias inexistentes em outras partes do disco. Algumas configuracoes tambem o criptografam ou limpam no desligamento.
Como se defender contra pagefile.sys?
As defesas contra pagefile.sys costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para pagefile.sys?
Nomes alternativos comuns: Arquivo de paginacao, Swap do Windows.
● Termos relacionados
- forensics-ir№ 474
hiberfil.sys
Arquivo de hibernacao comprimido do Windows que armazena um snapshot quase completo da memoria fisica no momento da hibernacao, permitindo acesso forense a RAM mesmo com a maquina desligada.
- forensics-ir№ 766
Ordem de volatilidade
Prioridade de aquisicao definida pela RFC 3227 que obriga os responders forenses a coletar primeiro a evidencia mais efemera, antes que seja sobrescrita ou perdida.
- forensics-ir№ 043
Amcache.hve
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 850
Arquivos Prefetch
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.