pagefile.sys
Что такое pagefile.sys?
pagefile.sysФайл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки.
pagefile.sys — дисковое хранилище виртуальной памяти Windows; обычно лежит в корне тома, размер задаётся системой динамически. Когда физической ОЗУ не хватает, менеджер памяти выгружает страницы пользовательского и ядерного адресных пространств в pagefile, где они могут сохраняться днями и неделями. Криминалистически файл не структурирован, но содержательно богат: карвинг строк и поиск по сигнатурам часто восстанавливают учётные данные в открытом виде, командные строки PowerShell, расшифрованные полезные нагрузки ВПО, фрагменты HTTP-трафика и обрывки кустов реестра. Плагины Volatility, понимающие pagefile, bulk_extractor и yarscan по сырому файлу выявляют доказательства, которых больше нигде на диске нет. Некоторые конфигурации шифруют или очищают файл при выключении.
● Примеры
- 01
Восстановление вывода mimikatz и хеша пароля доменного администратора из pagefile.sys.
- 02
Извлечение фрагментов конфигурации маяка Cobalt Strike из выгруженной области памяти.
● Частые вопросы
Что такое pagefile.sys?
Файл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает pagefile.sys?
Файл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки.
Как защититься от pagefile.sys?
Защита от pagefile.sys обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия pagefile.sys?
Распространённые альтернативные названия: Файл подкачки, Windows swap.