pagefile.sys
pagefile.sys 是什么?
pagefile.sys位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。
pagefile.sys 是 Windows 虚拟内存在磁盘上的后备存储,通常位于卷根目录,大小由系统动态调整。当物理内存紧张时,内存管理器会将用户态和内核态地址空间中被换出的页写入 pagefile,这些数据可能驻留数天甚至数周。pagefile 在取证上虽无结构,但内容极为丰富:通过字符串雕刻和基于特征的搜索,通常能恢复明文凭据、PowerShell 命令行、解密后的恶意载荷、HTTP 流量片段及注册表片段。具备 pagefile 感知能力的 Volatility 插件、bulk_extractor 以及对原始文件运行的 yarscan,常能挖掘出磁盘其他地方根本不存在的证据。部分配置在关机时会对其加密或清空。
● 示例
- 01
从 pagefile.sys 中还原攻击者的 mimikatz 输出和域管理员密码哈希。
- 02
从换出内存区域中提取 Cobalt Strike beacon 配置的片段。
● 常见问题
pagefile.sys 是什么?
位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。 它属于网络安全的 取证与应急响应 分类。
pagefile.sys 是什么意思?
位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。
pagefile.sys 是如何工作的?
pagefile.sys 是 Windows 虚拟内存在磁盘上的后备存储,通常位于卷根目录,大小由系统动态调整。当物理内存紧张时,内存管理器会将用户态和内核态地址空间中被换出的页写入 pagefile,这些数据可能驻留数天甚至数周。pagefile 在取证上虽无结构,但内容极为丰富:通过字符串雕刻和基于特征的搜索,通常能恢复明文凭据、PowerShell 命令行、解密后的恶意载荷、HTTP 流量片段及注册表片段。具备 pagefile 感知能力的 Volatility 插件、bulk_extractor 以及对原始文件运行的 yarscan,常能挖掘出磁盘其他地方根本不存在的证据。部分配置在关机时会对其加密或清空。
如何防御 pagefile.sys?
针对 pagefile.sys 的防御通常结合技术控制与运营实践,详见上方完整定义。
pagefile.sys 还有哪些其他名称?
常见的别称包括: 页面文件, Windows 交换文件。
● 相关术语
- forensics-ir№ 474
hiberfil.sys
Windows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。
- forensics-ir№ 766
易失性顺序 (Order of Volatility)
由 RFC 3227 定义的采集优先级,要求取证响应人员先收集最易失的证据,以免被覆盖或丢失。
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 850
Prefetch 文件
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。