Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 884

pagefile.sys

审核人Cybersecurity entrepreneur & security researcher

pagefile.sys 是什么?

pagefile.sys位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。


pagefile.sys 是 Windows 虚拟内存在磁盘上的后备存储,通常位于卷根目录,大小由系统动态调整。当物理内存紧张时,内存管理器会将用户态和内核态地址空间中被换出的页写入 pagefile,这些数据可能驻留数天甚至数周。pagefile 在取证上虽无结构,但内容极为丰富:通过字符串雕刻和基于特征的搜索,通常能恢复明文凭据、PowerShell 命令行、解密后的恶意载荷、HTTP 流量片段及注册表片段。具备 pagefile 感知能力的 Volatility 插件、bulk_extractor 以及对原始文件运行的 yarscan,常能挖掘出磁盘其他地方根本不存在的证据。部分配置在关机时会对其加密或清空。

示例

  1. 01

    从 pagefile.sys 中还原攻击者的 mimikatz 输出和域管理员密码哈希。

  2. 02

    从换出内存区域中提取 Cobalt Strike beacon 配置的片段。

常见问题

pagefile.sys 是什么?

位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。 它属于网络安全的 取证与应急响应 分类。

pagefile.sys 是什么意思?

位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。

如何防御 pagefile.sys?

针对 pagefile.sys 的防御通常结合技术控制与运营实践,详见上方完整定义。

pagefile.sys 还有哪些其他名称?

常见的别称包括: 页面文件, Windows 交换文件。

相关术语