pagefile.sys
O que é pagefile.sys?
pagefile.sysArquivo de swap de memoria virtual do Windows no volume do sistema; pode conter fragmentos de memoria de processos, credenciais, chaves, linhas de comando e payloads decifrados.
pagefile.sys e o backing store em disco da memoria virtual do Windows, geralmente na raiz do volume e dimensionado dinamicamente. Quando a RAM esta sob pressao, o gerenciador de memoria escreve paginas removidas dos espacos de usuario e kernel no pagefile, onde podem persistir por dias ou semanas. Forensicamente o pagefile e nao estruturado mas rico: carving de strings e buscas por assinatura recuperam frequentemente credenciais em texto claro, linhas de comando do PowerShell, payloads de malware decifrados, fragmentos de trafego HTTP e trechos de colmeias de registro. Plugins do Volatility com suporte a pagefile, bulk_extractor e yarscan sobre o arquivo cru revelam evidencias inexistentes em outras partes do disco. Algumas configuracoes tambem o criptografam ou limpam no desligamento.
● Exemplos
- 01
Recuperar a saida do mimikatz e um hash de admin de dominio a partir do pagefile.sys.
- 02
Extrair fragmentos da configuracao de um beacon Cobalt Strike de uma regiao paginada de memoria.
● Perguntas frequentes
O que é pagefile.sys?
Arquivo de swap de memoria virtual do Windows no volume do sistema; pode conter fragmentos de memoria de processos, credenciais, chaves, linhas de comando e payloads decifrados. Pertence à categoria Forense e resposta da cibersegurança.
O que significa pagefile.sys?
Arquivo de swap de memoria virtual do Windows no volume do sistema; pode conter fragmentos de memoria de processos, credenciais, chaves, linhas de comando e payloads decifrados.
Como se defender contra pagefile.sys?
As defesas contra pagefile.sys costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para pagefile.sys?
Nomes alternativos comuns: Arquivo de paginacao, Swap do Windows.