Что такое pagefile sys

Содержание

Всё о файле Pagefile.sys — что это такое, как уменьшить его размер, можно ли его удалить

Что такое pagefile sys

Pagefile.sys находится на системном диске. По умолчанию ему присвоен атрибут «Скрытый». Этот объект занимает достаточно много места. И понятно, что некоторые пользователи хотят его сразу удалить. Или хотя бы сжать, изменить размер.

В файле есть информация, которая нужна для работы ОС. И просто так стирать его не стоит. Ведь из-за этого могут появиться сбои, ошибки и другие проблемы. Узнайте подробности о Pagefile.sys — что это, чем он так важен и можно ли его убрать.

Что это за файл?

В Windows есть так называемые файлы подкачки. Они используются, когда не хватает оперативной памяти для какой-то операции. Это некое виртуальное хранилище — место, которое зарезервировано для нужд Виндовс. Благодаря ему ОС продолжает работать при перегрузке, а не зависает.

Pagefile — именно такой резерв. По умолчанию он весит 1 Гигабайт. Но размер можно менять.

При обращении к подкачке Windows немного тормозит, так как винчестер, помимо своих основных функций, выполняет «работу» оперативной памяти. С Pagefile.sys вы сможете запускать программы, которые требуют большое количество ресурсов: игры, графические редакторы, утилиты для видеомонтажа или моделирования, различные профессиональные и другие масштабные приложения.

Если файл удалить или изменить размер, уменьшится общая производительность. Процессы, которым не хватит RandomAccessMemory, будут закрываться или напрочь зависать. В худшем случае — произойдёт экстренное выключение ПК. Поэтому не стоит трогать этот объект без причины.

Если вы всё равно решили узнать, можно ли удалить Pagefile.sys, не делайте этого напрямую. Не перемещайте его в корзину и не стирайте при помощи клавиши Delete. Избавляться от него надо через настройки.

Как увидеть Pagefile.sys?

Системные данные очень часто спрятаны от пользователя. Их нельзя увидеть в проводнике и каталогах. Это сделано, чтобы их случайно не повредили. Надо настроить видимость скрытых директорий.

  • Зайдите в Панель управления.
  • В категории «Оформление и персонализация» откройте «Параметры папок».
  • Перейдите на вкладку «Вид».
  • В открывшемся списке снимите галочку с чекбокса «Скрывать системные файлы». Он внизу списка.

Снимаем галочку с чекбокса «Скрывать системные файлы»

  • В области «Скрытые папки» поставьте маркер рядом с пунктом «Отображать».

Теперь вы можете посмотреть на сам Pagefile.sys и на его характеристики. Но не стирайте его прямо из директории.

Как удалить или сжать?

Если у вас много RAM, то подкачка будет лишней. Зачем выделять место для хранилища, если вы им не пользуетесь? В таком случае можно сжать или вовсе удалить ненужный объект. Это делается через настройки. Если вы вручную его сотрёте, перенесёте или заархивируете, возникнут серьёзные проблемы.

Вот как уменьшить размер Pagefile.sys:

  • Кликните правой кнопкой мыши на значке «Мой компьютер».
  • «Свойства».
  • Нажмите на «Дополнительные параметры» (в списке слева).

Нажимаем на «Дополнительные параметры системы»

  • Вкладка «Дополнительно».
  • В разделе «Быстродействие» нажмите на «Параметры».

Нажимаем «Параметры»

  • В открывшемся окне опять перейдите в «Дополнительно».
  • Кнопка «Изменить».

Нажимаем «Изменить»

  • Откроется меню виртуальной памяти. Именно к ней относится Pagefile.sys.

Настройка «Виртуальной памяти»

  • Изначально там должен быть указан пункт «По выбору системы». Это значит, что файл изменяет сама ОС в зависимости от того, какая подкачка ей нужна.
  • Но также можно выставить опцию «Автоматически». Тогда виртуальное хранилище настроится самостоятельно. И не будет риска, что всё замрёт.
  • Чтобы уменьшить объём Pagefile.sys или, наоборот, увеличить его, поставьте маркер в «Указать размер». И самостоятельно задайте минимальное и максимальное значение. Но не ставьте цифры наобум. Если ресурсов в какой-то момент не хватит, ОС зависнет.
  • Чтобы совсем удалить, выберите вариант «Без подкачки».
  • Сохраните изменения.
  • Перезагрузите компьютер.

Как перенести или создать для другого диска?

Pagefile.sys необязательно убирать, если он занимает слишком много места на системном диске. И даже не надо менять размер.

Объект можно воссоздать в другом разделе (хотя перед этим его придётся удалить). Главное, чтобы он всегда был доступен.

То есть не надо его перетаскивать на съёмные носители, флешки или другие внешние хранилища. Лучше поместить его на логическом диске вашего основного винчестера.

  1. Зайдите в меню виртуальной памяти, как показано в предыдущей главе.
  2. Отметьте пункт «Без подкачки». Так Pagefile.sys получится удалить. Теперь надо создать новое хранилище в другом месте.
  3. Нажмите на «Задать».
  4. Укажите раздел.
  5. Выставите максимальный размер. Если не знаете, какое значение выбрать, воспользуйтесь советом системы в разделе «Рекомендованное».
  6. А также задайте исходный объём. Можете вписать туда объём оперативной памяти.
  7. Подтвердите изменения и перезапустите систему.

Теперь вы знаете, что такое Pagefile.sys, как удалить или уменьшить его. Но делайте это только в крайнем случае. Ведь без файла подкачки ПК будет очень часто зависать. Если он вам мешает, лучше его поместить в другое место.

Источник: https://nastroyvse.ru/opersys/win/fajl-pagefile-sys-umenshit-ili-udalit.html

Файл pagefile.sys в Windows 10

Что такое pagefile sys

Предмет этой статьи, а именно pagefile – это файл подкачки в системах семейства Windows. В Windows 10 его можно обнаружить на системном диске, лишь если включена опция отображения скрытых/защищённых файлов системы. Чаще всего pagefile.sys занимает внушительное место на диске и содержит данные, не умещающиеся в рамках имеющейся ОЗУ.

В общем, этот файл непосредственным образом относится к виртуальной памяти. Сегодня поговорим о том, какие функции выполняет pagefile.sys, а также как его можно удалить из системы либо уменьшить его размеры. Последний пункт целесообразен, только если на вашем ПК установлено достаточно оперативной памяти.

Pagefile.sys – что это за файл и за что он отвечает?

Как уже было сказано, это настраиваемый файл подкачки, размер и функции которого определяются системой автоматически. Стоит отметить, что даже при наличии ОЗУ в районе 12 Гб, Windows 10 определяет его размер в те же 12 гигов пространства на жёстком диске соответственно.

По сути, файл подкачки представляет собой участок жёсткого диска, который выделяется под хранение страниц Virtual Memory. Все процессы, которые работают в фоне, автоматически переносятся системой в область действия файла подкачки. Примечательно, что вы сами можете указать размер виртуальной памяти либо отключить файл подкачки.

Чтобы увидеть pagefile.sys, необходимо в проводнике перейти к параметрам папок, далее выбрать пункт «Изменить параметры директорий и поиска» и на вкладке «Вид» снять отметку напротив пункта «Скрывать защищённые файлы системы». Теперь все файлы, которые были скрыты системой по умолчанию, включая pagefile.sys, будут отражены на системном диске.

Переходим к параметрам папок и на вкладке «Вид» снимаем галочку с пункта «Скрывать защищённые системные файлы»

Уменьшаем pagefile.sys в Windows 10

Чтобы уменьшить размер файла, потребуется самостоятельно выставить размер виртуальной памяти. Для этого нужно изменить несколько параметров. Для этого:

Воспользуемся службой «Выполнить» (Win+R) и выполним команду sysdm.cpl. Таким образом, мы перейдём к дополнительным системным параметрам. В активном окне выбираем вкладку «Дополнительно» и в разделе «Быстродействие» переходим к «Параметрам».

При помощи системной службы Выполнить открываем Дополнительные системные параметрыВ Свойствах системы переходим на вкладку «Дополнительно» и в разделе «Быстродействие» выбираем «Параметры»

Снова выбираем «Дополнительно», где увидим общий размер файла подкачки для всех дисков. Чтобы уменьшить его, нужно нажать «Изменить», после чего снять отметку «Автоматически установить объём…».

Далее выбираем требуемый локальный диск и вместо «По выбору системы» вписываем Исходный и Максимальный размер. Нажимаем ОК, чтобы изменения вступили в силу.

Переходим к настройкам параметров виртуальной памяти, выбираем нужный логический диск, ставим чекбокс напротив «Указать размер» и прописываем нужные значения

Удаляем pagefile.sys

Такие системные файлы требуются для корректной и стабильной работы системы. Именно поэтому они изначально защищены/скрыты. Любые манипуляции с ними, в том числе удаление, может привести к некорректной работе ПК. Безусловно, удалить pagefile.sys можно, однако можно ли сделать это стандартно, через проводник?

Ответ – да, но прежде потребуется полностью отключить файл подкачки в соответствующих настройках. Для этого переходим в дополнительные настройки, как показано в руководстве выше, и вместо «Размер по выбору системы» и «Указать размер» ставим чекбокс напротив «Без файла подкачки».

После того как изменения вступят в силу, производим перезагрузку ПК. Далее нужно проверить наличие pagefile.sys на диске. Он может содержаться и на нескольких логических дисках, для которых был установлен файл подкачки. В таком случае нужно искать такой файл на каждом диске и удалять его.

Иной раз пользователи предпочитают не удалять его насовсем, а переносить на другой диск. Для этого можно отключить файл подкачки на одном диске и включить его на ином.

Напоследок хотелось бы отметить, что pagefile.sys система Windows 10 использует лишь как дополнительное пространство под виртуальную оперативную память. Поэтому не все данные записываются в этот файл. Тем не менее по дефолту он может занимать на диске несколько, а то и десятки Гб.

Если вы просто попробуете удалить pagefile.sys в проводнике, то это ничего вам не даст в плане освобождения дискового пространства. Для этих целей, как уже было сказано выше, нужно либо выставить минимальный объём виртуальной памяти для него, либо выключить полностью. Изменения вступят в силу только после перезагрузки системы.

Автор материала: Ангелина Снежина

Подписывайтесь на наш канал и ставьте лайки! А еще можете посетить наш официальный сайт.

Источник: https://zen.yandex.ru/media/tehnichka/fail-pagefilesys-v-windows-10-5fd33768ffa0ae77097883d4

Системный файл pagefile.sys: как его удалять, перемещать, изменять размер, и для чего он нужен

Что такое pagefile sys

Операционная система Windows 10 очень ресурсоемкая, для ее нормальной работы требуются много свободной вычислительной мощности даже по нынешним меркам. Нередко ей становится недостаточно объема памяти, предоставляемого физической оперативной памятью (RAM), чтобы вместить все запущенные процессы.

Что такое pagefile.sys?

Разработчики Microsoft нашли интересный способ решения этой проблемы с помощью специального файла подкачки, получившего название pagefile.sys. В этот файл операционная система отправляет все данные, которые не вмещаются в хранилище RAM.

Очевидно, что никакой файл на жестком диске никогда не сможет так же быстро принимать и отдавать информацию, как физическое устройство оперативной памяти, тем не менее он способен надежно защитить систему от сбоев, вызванных нехваткой вычислительных ресурсов.

В Windows10 реализовано автоматическое управление файлом подкачки.

Неумелыми действиями с этим файлом можно нанести непоправимый ущерб операционной системе, поэтому он надежно спрятан от простых пользователей, и многие даже не догадываются о его существовании.

Но иногда бывает необходимо получить и ручной доступ к этому файлу, чтобы перенести его на внешний диск или ограничить в размерах, когда нужно освободить место на основном диске и увеличить общую производительность системы.

Можно ли удалить файл pagefile.sys?

Файл pagefile.sys содержит критически важную информацию о состоянии ПК и обо всех запущенных программах, поэтому после его удаления система, скорее всего, перестанет работать стабильно.

Хотя файл подкачки и занимает очень много места на диске, он выполняет незаменимую роль в поддержании бесперебойной работы Windows. Именно поэтому pagefile.sys по умолчанию скрыт.

Как удалить pagefile.sys?

Удалять pagefile.sys категорически не рекомендуется, но все же это можно сделать, когда есть уверенность, что файл поврежден и вызывает проблемы в работе Windows.

Просмотр скрытых файлов операционной системы

Прежде чем удалить pagefile.sys, его нужно сделать видимым и доступным для манипуляций.

Первое, что для этого понадобится, это открыть проводник и перейти на диск C.

Чтобы развернуть меню ленты, нужно нажать комбинацию клавиш Control + F1, далее нажать «Просмотр», а затем выбрать «Параметры».

В раскрывшемся меню следует нажать на вкладку «Вид» и затем снять галочку «Скрыть защищенные файлы операционной системы (рекомендуется)».

Далее следует отметить включенным параметр «Показать скрытые файлы, папки и диски» и нажать кнопку «Применить». После этого pagefile.sys, как и все остальные скрытые файлы, станет доступен для просмотра.

Удаление файла pagefile.sys

Для удаления файла pagefile.sys нужно щелкнуть на нем правой кнопкой мыши и выбрать «Удалить». Если файл подкачки достиг особенно больших размеров, система не сможет поместить его в корзину и сразу удалит без возможности восстановления.

После удаления файла потребуется перезагрузка Windows.

Как переместить файл pagefile.sys

По умолчанию размер файла pagefile.sys составляет около 12 ГБ. Однако он может сильно отличаться от среднего значения в зависимости от вычислительной мощности компьютера и от объема физической памяти.

Чтобы увеличить свободное пространство на основном жестком диске, файл подкачки можно переместить на внешний накопитель.

Вдобавок к освободившемуся месту в постоянном хранилище данных это приведет к увеличению общей производительности системы, которое будет тем заметнее, чем более высокотехнологичная основа заложена в устройстве внешнего накопителя.

Предпочтительнее всего выбирать внешний жесткий диск на основе твердотельного накопителя SSD с интерфейсом USB 3.0. Вне зависимости от типа жесткого диска, нужно убедиться, что он отформатирован в файловой системе NTFS, которая способна работать с файлами больших размеров.

Доступ к расширенным настройкам системы

Для доступа к панели управления в Windows 10 нужно выбрать значок Windows в нижней левой части рабочего стола и ввести слово «Дополнительно» в поле поиска. Затем в открывшемся окне выбрать «Просмотреть расширенные настройки системы». Далее в разделе «Производительность» нужно выбрать «Настройки».

В появившемся новом окне следует перейти на вкладку «Дополнительно», найти раздел «Виртуальная память» и нажать «Изменить».

Перенос файла на внешний накопитель

Сначала в окне «Виртуальная память» нужно снять флажок «Автоматически управлять размером файла подкачки на каждом диске».

После этого в разделе «Файл управления системой» нужно выбрать «Нет файла подкачки». Затем выбрать внешний диск, который отображается в списке под диском C.

Далее остается нажать кнопку «Установить» и выбрать «Да» под появившимся окном с предупреждением.

Чтобы изменения вступили в силу, понадобится перезагрузить компьютер. После перезагрузки Windows 10 автоматически удалит старый файл pagefile.sys и создаст новый на внешнем диске.

Как изменить размер pagefile.sys

В системе Windows 10 заложен механизм автоматического управления размером файла pagefile.sys, однако если возникает необходимость в экономии дискового пространства, этот размер можно ограничить вручную. Правда, такое ограничение может снизить производительность системы.

Самый лучший способ уменьшить размер файла подкачки – это установить дополнительные модули физической оперативной памяти.

Чем больше в распоряжении системы есть физической оперативной памяти, тем меньше она нуждается в файле подкачки, поэтому Windows автоматически уменьшает pagefile.sys с увеличением объема RAM.

Например, в компьютере с 32 ГБ оперативной памяти под управлением Windows 10 файл подкачки редко когда превышает 2,5 ГБ.

Просмотр загруженности системных ресурсов через диспетчер задач

Чтобы определить, сколько виртуальной памяти использует система, нужно открыть «Диспетчер задач» через нажатие клавиш Ctrl + Alt + Del.

Далее нужно перейти на вкладку «Производительность» и выбрать «Память». В этой вкладке отображается, сколько виртуальной памяти задействовано в данный момент времени. Чтобы получить приблизительное представление о среднем размере файла pagefile.sys, нужно отслеживать этот показатель в течение нескольких дней.

Установка ограничения на размер файла подкачки

Чтобы получить доступ к соответствующим настройкам, нужно ввести слово «Дополнительно» в строке поиска панели управления, затем выбрать «Просмотреть расширенные настройки системы». В разделе «Производительность» нужно нажать «Настройки».

Далее в открывшемся новом окне следует перейти на вкладку «Дополнительно», найти раздел «Виртуальная память» и нажать «Изменить».

В окне «Виртуальная память» нужно снять флажок «Автоматически управлять размером файла подкачки на каждом диске», после чего выбрать опцию «Нестандартный размер». В поле «начальный размер» следует задать значение не менее 800 МБ.

В поле «Максимальный размер» нужно ввести желаемый верхний предел для размера файла подкачки. Следует помнить, что 1 ГБ = 1024 МБ, поэтому, например, чтобы получить максимальный размер 8 ГБ, в настройках надо указать 8 192 МБ.

Чтобы подтвердить сделанные изменения, нужно нажать кнопку «Установить».

Источник: https://sysadmin-note.ru/sistemnyj-fajl-pagefile-sys-kak-ego-udalyat-peremeshhat-izmenyat-razmer-i-dlya-chego-on-nuzhen/

Pagefile.sys — что это такое? Как удалить или перенести его?

Что такое pagefile sys

Здравствуйте Друзья! В этой статье мы разберемся что есть — Pagefile.sys, как его удалить, изменить или перенести на другой диск. По мере освоения компьютера пользователю попадается на глаза этот скрытый файл в корне системного диска.

И так как этот файл занимает гигабайты свободного пространства, то появляется закономерный вопрос. — А что это за файл и для чего он нужен и нужен ли он мне вообще? После того как пользователь узнает об этом файле ему становится необходимо управлять им. Удалять, изменять размер или переносить на другой диск.

Как это все делать вы узнаете в этой статье. Если кому нужно быстро, то посмотрите видео в конце статьи.

2_07_2014. Важно! Прочитайте пожалуйста всю статью и особенно заключение, а после настраивайте Pagefile.sys.

Pagefile.sys — что это такое?

Pagefile.sys — это файл подкачки операционной системы Windows. Так же часто его называют виртуальной памятью. Это тот самый файл, который приходит на помощью когда в системе заканчивается оперативная память. В эти критические моменты, чтобы компьютер не зависал, а хоть и медленно, но продолжал работать, система обращается за поддержкой к этому файлу.

В него Windows сбрасывает все то, что не помещается в данный момент в оперативной памяти. Из всего содержимого памяти выбирается то, что менее используется или использовалось давно (то есть информация которая скорее всего будет наименее востребована по крайней мере в ближайшее время) и записывается в файл Pagefile.sys, освобождая тем самым место для используемой информации в данный момент.

Это дает следующие преимущества. Система может использовать больше «оперативной» памяти, чем установлено в компьютере, а пользователь, соответственно, сможет запускать сколько нужно приложений и при этом система не зависнет. С огромной вероятностью, компьютер будет тормозить, но зависнуть не должен.

То есть это резерв, если вам нужно иногда выполнять ресурсоёмкие задачи, такие как конвертирование видео или просто поиграть в современную игру. Почему написал — иногда, потому, что компьютер, как уже говорил, будет тормозить и удовольствия от такой работы или игры вы скорее всего не получите.

Почему же компьютер тормозит при использовании файла подкачки. Потому что увеличивается нагрузка на жесткий диск вашего компьютера. Ему необходимо работать и за себя и за оперативную память.

Сие приводит не только к потери нервных клеток пользователя, но и к сокращению ресурса работы HDD. Поэтому, если вы почувствовали, что крепко используете Pagefile.sys, то задумайтесь над увеличением оперативной памяти вашего компьютера.

Как это сделать можно прочитать и посмотреть тут. После увеличения ОЗУ этот файл можно будет удалить без каких-либо последствий.

Как удалить Pagefile.sys?

В Windows 7 и Windows 8 это делается следующим образом. Переходите по следующему пути

Пуск > Панель управления > Система и безопасность > Система

Слева выбрать Дополнительные параметры системы

В открывшемся окне Свойства системы в поле Быстродействие нажимаем Параметры…

Открывается окошко Параметры быстродействия. Переходите на вкладку Дополнительно и нажимаете Изменить…

Далее в открывшемся окошке Виртуальная память в поле Размер файла подкачки для каждого диска выбираем раздел, на котором у вас располагается Pagefile.sys — 1. Выбираем Без файла подкачки — 2. Нажимаем кнопку Задать -3.

Если у вас файл подкачки находится на нескольких дисках, тоже самое делаем и с другими разделами.

Когда напротив каждого диска у вас будет в столбце Файл подкачки значение «Отсутствует» (как у рисунке выше) нажимаете ОК — 4.

Теперь для окончательного удаления Pagefile.sys необходимо перезагрузить компьютер.

Как изменить Pagefile.sys?

Обычно требуется увеличить файл Pagefile.sys. Делается это в том же окошке Виртуальная память. Выбираем диск на котором у вас расположен файл подкачки -1. Если вы не знаете сколько вам нужно виртуальной памяти, то выбираете Размер по выбору системы -2. Нажимаете Задать -3 и ОК -4.

После этих манипуляций система сама будет следить за файлом Pagefile.sys и при необходимости его увеличит.

Если вы хотите сами задать определенные значения для файла подкачки, чтобы в процессе работы Windows его не трогала (в момент изменения файла Pagefile.sys система будет тратить свои ресурсы и возможно будут наблюдаться некоторые тормоза), необходимо задать точный размер.

Источник: https://youpk.ru/pagefile-sys/

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

Что такое pagefile sys
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс.

Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования.

Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки. Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности. Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт. Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager: Видно, что это скрытый системный файл, который так просто не скопировать. Как тогда получить этот файл? Сделать это можно несколькими способами:

  • если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана
  • если есть цифровая копия накопителя или же сам файл — просто копируем файл или работаем с ним напрямую.

Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования). На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.
Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО. Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова: Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем.

В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой).

Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.

А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого. Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики? В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации. Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе. При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке. Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач. В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов): В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2021 года:
Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения. Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):

Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми). Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):
И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие. Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:

  • sekurlsa::logonPasswords — извлечение логинов и паролей учетной записи
  • token::elevate — повышение прав доступа до SYSTEM или поиск токена администратора домена
  • lsadump::sam — получение SysKey для расшифровки записей из файла реестра SAM
  • log Result.txt — файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):

Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys: На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером: Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования. В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация. Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX. Ниже несколько примеров того, что обнаружили специалисты:

Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути). Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец). Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:
В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации. Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:
Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки: А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

Итак, pagefile.sys действительно может содержать большое количество различных артефактов, которые могут помочь в анализе. Именно поэтому никогда не стоит игнорировать исследование файла подкачки. Даже если есть у вас есть все необходимые данные — все равно исследуйте pagefile.sys. Практика показывает, что там может находиться что-то недостающее и важное.

Источник: https://habr.com/ru/company/group-ib/blog/512728/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.