pagefile.sys
Что такое pagefile.sys?
pagefile.sysФайл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки.
pagefile.sys — дисковое хранилище виртуальной памяти Windows; обычно лежит в корне тома, размер задаётся системой динамически. Когда физической ОЗУ не хватает, менеджер памяти выгружает страницы пользовательского и ядерного адресных пространств в pagefile, где они могут сохраняться днями и неделями. Криминалистически файл не структурирован, но содержательно богат: карвинг строк и поиск по сигнатурам часто восстанавливают учётные данные в открытом виде, командные строки PowerShell, расшифрованные полезные нагрузки ВПО, фрагменты HTTP-трафика и обрывки кустов реестра. Плагины Volatility, понимающие pagefile, bulk_extractor и yarscan по сырому файлу выявляют доказательства, которых больше нигде на диске нет. Некоторые конфигурации шифруют или очищают файл при выключении.
● Примеры
- 01
Восстановление вывода mimikatz и хеша пароля доменного администратора из pagefile.sys.
- 02
Извлечение фрагментов конфигурации маяка Cobalt Strike из выгруженной области памяти.
● Частые вопросы
Что такое pagefile.sys?
Файл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает pagefile.sys?
Файл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки.
Как работает pagefile.sys?
pagefile.sys — дисковое хранилище виртуальной памяти Windows; обычно лежит в корне тома, размер задаётся системой динамически. Когда физической ОЗУ не хватает, менеджер памяти выгружает страницы пользовательского и ядерного адресных пространств в pagefile, где они могут сохраняться днями и неделями. Криминалистически файл не структурирован, но содержательно богат: карвинг строк и поиск по сигнатурам часто восстанавливают учётные данные в открытом виде, командные строки PowerShell, расшифрованные полезные нагрузки ВПО, фрагменты HTTP-трафика и обрывки кустов реестра. Плагины Volatility, понимающие pagefile, bulk_extractor и yarscan по сырому файлу выявляют доказательства, которых больше нигде на диске нет. Некоторые конфигурации шифруют или очищают файл при выключении.
Как защититься от pagefile.sys?
Защита от pagefile.sys обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия pagefile.sys?
Распространённые альтернативные названия: Файл подкачки, Windows swap.
● Связанные термины
- forensics-ir№ 474
hiberfil.sys
Сжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы.
- forensics-ir№ 766
Порядок волатильности
Приоритет сбора, определённый RFC 3227: криминалисты обязаны фиксировать наиболее эфемерные свидетельства первыми, пока они не перезаписаны и не утрачены.
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 850
Файлы Prefetch
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.