ЧТО ЗА ФАИЛ PAGEFILE SYS И КАК ЕГО УДАЛИТЬ WINDOWS 10?

В операционных системах Windows для работы используется так называемый файл подкачки pagefile.sys (скрытый и системный, обычно находится на диске C), представляющий своего рода «расширение» оперативной памяти компьютера (иначе — виртуальная память) и обеспечивающий работу программ даже в том случае, когда физической памяти RAM недостаточно. Windows 10, 8.1 или Windows 7 также пытается переместить неиспользуемые данные из оперативной памяти в файл подкачки, причем, по информации Microsoft, каждая новая версия делает это лучше.

В этой инструкции подробно о том, как настроить файл подкачки Windows 10 и предыдущих версий системы: увеличить его, уменьшить, отключить вовсе или перенести на другой диск. А также о существующих рекомендациях, касающихся правильной настройки виртуальной памяти.

Что будет, если отключить файл подкачки

При отключенном файле подкачки иногда всё работает как и прежде. Но при небольшом размере оперативной памяти (или при использовании требовательных к ресурсам компьютера процессов), вы можете получить сообщение с предупреждением: «На компьютере недостаточно памяти. Чтобы освободить память для нормальной работы программ, сохраните файлы, а затем закройте или перезапустите все открытые программы» или «Чтобы предотвратить потерю данных, закройте программы». Также при отключенном файле подкачки не сохраняются дампы памяти при сбоях системы.

Но не всегда: распространён вариант, когда программы просто «вылетают» или ошибку бывает сложно связать с отключенным когда-то файлом виртуальной памяти (особенно если это было давно). Поэтому, если вы отключили файл подкачки и когда-либо столкнётесь что программы сообщают о собственных ошибках (например, ошибка вывода в OBS), либо молча не запускаются (Premiere Pro), выбивают черный экран (Photoshop), рекомендую в первую очередь попробовать снова включить его.

По умолчанию, Windows 10, 8.1 и Windows 7 автоматически определяют размер файла подкачки в соответствии с потребностями системы и особенностями работы. По мнению некоторых пользователей, в ряде случаев изменение файла подкачки вручную может помочь оптимизировать работу системы, иногда может быть целесообразно вообще отключить его, а в некоторых других ситуациях самое лучшее — ничего не изменять и оставить автоматическое определение размера файла подкачки. В этом руководстве — о том, как увеличить, уменьшить или отключить файл подкачки и удалить файл pagefile.sys с диска, а также о том, какие существуют рекомендации о правильной настройке файла подкачки, в зависимости от того, как вы используете компьютер и его характеристик.

Файл подкачки Windows 10

Помимо файла подкачки pagefile.sys, который был и в предыдущих версиях ОС, в Windows 10 присутствует новый скрытый системный файл swapfile.sys так же находящийся в корне системного раздела диска и, по сути, тоже представляющий собой своеобразный файл подкачки, используемый не для обычных («Классическое приложение» в терминологии Windows 10), а для «Универсальных приложений» UWP.

Новый файл подкачки swapfile.sys потребовался в связи с тем, что для универсальных приложений изменились способы работы с памятью и, в отличие от обычных программ, которые используют файл подкачки как обычную оперативную память, файл swapfile.sys используется как файл, хранящий «полное» состояние отдельных приложений, своего рода файл гибернации конкретных приложений, из которого они могут в короткое время могут продолжать работу при обращении. Предвидя вопрос о том, как удалить swapfile.sys: его наличие зависит от того, включен ли обычный файл подкачки (виртуальная память), т.е. удаляется он тем же способом, что и pagefile.sys, они взаимосвязаны.

Как увеличить, уменьшить или отключить файл подкачки в Windows 10

А теперь о настройке файла подкачки в Windows 10 и о том, каким образом его можно увеличить (хотя тут, пожалуй, лучше просто задать рекомендуемые параметры системы), уменьшить, если вы считаете, что у вас достаточно оперативной памяти на компьютере или ноутбуке, или полностью отключить, освободив тем самым место на жестком диске.

Видео инструкция

Прежде чем рассказывать о том, какой размер файла подкачки оптимальный для различных сценариев, покажу, как вы можете менять этот размер или отключить использование виртуальной памяти Windows.

Для настройки параметров файла подкачки, зайдите в «Свойства компьютера» (правый клик по значку «Мой компьютер» — свойства»), после чего в списке слева выберите «Защита системы». Более быстрый способ сделать то же самое — нажать клавиши Win + R на клавиатуре и ввести команду sysdm.cpl (подойдет для Windows 7 и 8).

В диалоговом окне откройте вкладку «Дополнительно», а затем кликните по кнопке «Параметры» в разделе «Быстродействие» и тоже выберите вкладку «Дополнительно». Нажмите кнопку «Изменить» в разделе «Виртуальная память».

Как раз здесь вы можете настроить необходимые параметры виртуальной памяти:

Изменение параметров файла подкачки Windows — видео

Ниже — видео инструкция о том, как настроить файл подкачки в Windows 7, 8.1 и Windows 10, задать его размер или удалить этот файл, а также перенести его на другой диск. А после видео вы можете найти рекомендации о правильной настройке файла подкачки.

Правильная настройка файла подкачки

Есть множество различных рекомендаций о том, как правильно настроить файл подкачки в Windows от людей с самым разным уровнем компетенции:

Большинству своих читателей я бы не стал рекомендовать этого делать, потому как в случае возникновения проблем при запуске или работе программ и игр, можно и не вспомнить, что эти проблемы могут быть вызваны отключением файла подкачки. Однако, если у вас на компьютере строго ограниченный набор ПО, который вы всегда используете, и эти программы прекрасно работают без файла подкачки, данная оптимизация тоже имеет право на жизнь.

Перенос файла подкачки на другой диск

Один из вариантов настройки файла подкачки, который в ряде случаев может оказаться полезным для производительности системы — перенос его на отдельный жесткий диск или SSD. При этом имеется в виду именно отдельный физический диск, а не раздел на диске (в случае логического раздела перенос файла подкачки, наоборот, может привести к падению производительности).

Как перенести файл подкачки на другой диск в Windows 10, 8 и Windows 7:

Однако, если вы хотите перенести файл подкачки с SSD на HDD с целью продлить срок жизни твердотельного накопителя — возможно, этого делать и не стоит, если только у вас не старый SSD с малой емкостью. В результате вы потеряете в производительности, а увеличение срока службы может оказаться очень несущественным. Подробнее — Настройка SSD для Windows 10 (актуально и для 8-ки).

Внимание: нижеследующий текст с рекомендациями был написан мною около двух лет назад и в некоторых пунктах не вполне актуален: например, для сегодняшних SSD я более не рекомендую отключать файл подкачки.

В различных статьях, касающихся оптимизации Windows, можно встретить рекомендации отключить файл подкачки, если размер оперативной памяти составляет 8 Гб или даже 6 Гб, а также не использовать автоматический выбора объема файла подкачки. Логика в этом есть — при отключенном файле подкачки, компьютер не будет использовать жесткий диск в качестве дополнительной памяти, что должно увеличить скорость работы (оперативная память в разы быстрее), а при ручном указании точного размера файла подкачки (при этом рекомендуется указывать исходный и максимальный размер одинаковыми), мы высвобождаем место на диске и снимаем с ОС задачи по настройке размеров данного файла.

Примечание: если вы используете SSD диск, то лучше всего озаботиться установкой максимального количества RAM и полностью отключить файл подкачки, это позволит продлить жизнь твердотельного диска.

По моему мнению, это не совсем верно и в первую очередь, следует ориентироваться не столько на размер доступной физической памяти, сколько на то, как именно используется компьютер, в противном случае, вы рискуете видеть сообщения о том, что Windows недостаточно памяти.

Действительно, если у вас 8 Гб оперативной памяти, и работа за компьютером заключается в просмотре сайтов и нескольких игр, вполне вероятно, что отключение файла подкачки будет хорошим решением (но есть риск столкнуться с сообщением о том, что недостаточно памяти).

Однако, если вы монтируете видео, занимаетесь редактированием фото в профессиональных пакетах, работаете с векторной или трехмерной графикой, проектируете дома и ракетные двигатели, используете виртуальные машины, 8 Гб RAM будет мало и файл подкачки непременно потребуется в процессе работы. Более того, отключив его, вы рискуете потерять несохраненные документы и файлы при возникновении нехватки памяти.

Если вы не уверены, в том, сколько оперативной памяти вам нужно и какой размер файла подкачки будет правильным в вашей ситуации, существует следующий подход к определению его размера, не ручаюсь за его истинность и применимость для каждого пользователя:

Мой личный взгляд на файл подкачки по состоянию на последнее обновление этой статьи — оставить его размер автоматически определяемым системой и, если есть возможность — именно на SSD, при условии, что вам требуется высокая производительность. В Интернете вы можете найти рекомендации, значительно отличающиеся от того, что предлагаю я. Каким из них следовать — решать вам. При использовании моего варианта, вы, скорее всего, не столкнетесь с ситуацией, когда программа не запустится из-за недостатка памяти, но при этом вариант полного отключения файла подкачки (что я не рекомендую для большинства случаев) теоретически может положительно повлиять на производительность системы в некоторых случаях.

Pagefile.sys находится на системном диске. По умолчанию ему присвоен атрибут «Скрытый». Этот объект занимает достаточно много места. И понятно, что некоторые пользователи хотят его сразу удалить. Или хотя бы сжать, изменить размер. В файле есть информация, которая нужна для работы ОС. И просто так стирать его не стоит. Ведь из-за этого могут появиться сбои, ошибки и другие проблемы. Узнайте подробности о Pagefile.sys — что это, чем он так важен и можно ли его убрать.

Что это за файл?

В Windows есть так называемые файлы подкачки. Они используются, когда не хватает оперативной памяти для какой-то операции. Это некое виртуальное хранилище — место, которое зарезервировано для нужд Виндовс. Благодаря ему ОС продолжает работать при перегрузке, а не зависает.

Pagefile — именно такой резерв. По умолчанию он весит 1 Гигабайт. Но размер можно менять.

При обращении к подкачке Windows немного тормозит, так как винчестер, помимо своих основных функций, выполняет «работу» оперативной памяти. С Pagefile.sys вы сможете запускать программы, которые требуют большое количество ресурсов: игры, графические редакторы, утилиты для видеомонтажа или моделирования, различные профессиональные и другие масштабные приложения.

Если файл удалить или изменить размер, уменьшится общая производительность. Процессы, которым не хватит RandomAccessMemory, будут закрываться или напрочь зависать. В худшем случае — произойдёт экстренное выключение ПК. Поэтому не стоит трогать этот объект без причины.

Если вы всё равно решили узнать, можно ли удалить Pagefile.sys, не делайте этого напрямую. Не перемещайте его в корзину и не стирайте при помощи клавиши Delete. Избавляться от него надо через настройки.

Как увидеть Pagefile. sys?

Системные данные очень часто спрятаны от пользователя. Их нельзя увидеть в проводнике и каталогах. Это сделано, чтобы их случайно не повредили. Надо настроить видимость скрытых директорий.

Снимаем галочку с чекбокса «Скрывать системные файлы»

Теперь вы можете посмотреть на сам Pagefile.sys и на его характеристики. Но не стирайте его прямо из директории.

Как удалить или сжать?

Если у вас много RAM, то подкачка будет лишней. Зачем выделять место для хранилища, если вы им не пользуетесь? В таком случае можно сжать или вовсе удалить ненужный объект. Это делается через настройки. Если вы вручную его сотрёте, перенесёте или заархивируете, возникнут серьёзные проблемы.

Нажимаем на «Дополнительные параметры системы»

Настройка «Виртуальной памяти»

Как перенести или создать для другого диска?

Pagefile.sys необязательно убирать, если он занимает слишком много места на системном диске. И даже не надо менять размер. Объект можно воссоздать в другом разделе (хотя перед этим его придётся удалить). Главное, чтобы он всегда был доступен. То есть не надо его перетаскивать на съёмные носители, флешки или другие внешние хранилища. Лучше поместить его на логическом диске вашего основного винчестера.

Теперь вы знаете, что такое Pagefile.sys, как удалить или уменьшить его. Но делайте это только в крайнем случае. Ведь без файла подкачки ПК будет очень часто зависать. Если он вам мешает, лучше его поместить в другое место.

Прежде всего о том, что такое pagefile.sys в Windows 10, Windows 7, 8 и XP: это файл подкачки Windows. Зачем он нужен? Дело в том, что какое бы количество оперативной памяти не было установлено на вашем компьютере, не всем программам для работы будет ее достаточно. Современные игры, видео и графические редакторы и многое другое программное обеспечение с легкостью заполнит Ваши 8 Гб RAM и попросит еще. В этом случае и используется файл подкачки. Файл подкачки по умолчанию находится на системном диске, обычно здесь: C:pagefile.sys. В этой статье поговорим о том, хорошая ли это идея — отключить файл подкачки и тем самым удалить pagefile.sys, а также о том, как переместить pagefile.sys  и какие преимущества это может дать в некоторых случаях.

Обновление 2016: более подробная инструкция по удалению файла pagefile.sys, а также видео руководство и дополнительная информация доступны в стать Файл подкачки Windows.

Как удалить pagefile. sys

Один из главных вопросов пользователей — можно ли удалить файл pagefile.sys. Да, можно, и сейчас я напишу о том, как это сделать, а далее поясню, почему этого делать не стоит.

Итак, для того, чтобы изменить параметры файла подкачки в Windows 7 и Windows 8 (и в XP тоже), зайдите в Панель управления и выберите пункт «Система», затем в меню слева — «Дополнительные параметры системы».

Затем, на вкладке «Дополнительно» кликните кнопку «Параметры» в разделе «Быстродействие».

В параметрах быстродействия откройте вкладку «Дополнительно» и в разделе «Виртуальная память» нажмите «Изменить».

По умолчанию, Windows автоматически управляет размером файла pagefile.sys и, в большинстве случаев это является оптимальным вариантом. Тем не менее, если вы хотите удалить pagefile.sys, вы можете это сделать, сняв галочку «Автоматически выбирать объем файла подкачки» и установив пункт «Без файла подкачки». Также вы можете изменить размер этого файла, указав его самостоятельно.

Почему не следует удалять файл подкачки Windows

Есть несколько причин, по которым люди решают удалить pagefile.sys: он занимает место на диске — это первая из них. Вторая — они думают, что без файла подкачки компьютер будет работать быстрее, так как на нем и так достаточно оперативной памяти RAM.

Pagefile.sys в проводнике

Что касается первого варианта, то с учетом объемов сегодняшних жестких дисков, удаление файла подкачки навряд ли может оказаться критически необходимым. Если у Вас стало кончаться место на жестком диске, то скорее всего это говорит о том, что вы там храните что-то ненужное. Гигабайты образов дисков игр, фильмы и прочее — это не то, что обязательно держать на своем жестком диске. К тому же, если вы скачали некий Repack объемом несколько гигабайт, и установили его на компьютер, сам файл ISO можно удалять — работать игра будет и без него. Так или иначе, это статья не о том, как почистить жесткий диск. Просто, если для вас являются критичными несколько гигабайт, занимаемые файлом pagefile.sys, лучше поискать что-то другое, явно ненужное, и оно, скорее всего найдется.

Второй пункт, касающийся производительности — тоже миф. Windows может работать без файла подкачки при условии большого количества установленной оперативной памяти RAM, однако никакого положительного влияния на производительность системы это не имеет. Кроме этого, отключение файла подкачки может привести к некоторым неприятным вещам — некоторые программы, не получив достаточно свободной памяти для работы, будут сбоить и «вылетать». Некоторое программное обеспечение, например виртуальные машины, могут вообще не запуститься, если вы отключите файл подкачки Windows.

Подводя итог, нет разумных причин, чтобы избавляться от pagefile.sys.

Как переместить файл подкачки Windows и в каких случаях это может быть полезным

Несмотря на все вышесказанное об отсутствии необходимости менять стандартные настройки для файла подкачки, в некоторых случаях перемещение файла pagefile.sys на другой жесткий диск может быть полезным. Если у вас на компьютере установлено два отдельных жестких диска, один из которых системный и на нем же установлены необходимые программы, а второй содержит относительно редко используемые данные, перемещение файла подкачки на второй диск может положительно сказаться на производительности в те моменты, когда виртуальная память задействована. Переместить pagefile.sys можно там же, в настройках виртуальной памяти Windows.

Нужно учесть, что это действие разумно только в том случае, когда у Вас два отдельных физических жестких диска. Если же ваш жесткий диск разбит на несколько разделов, перемещение файла подкачки на другой раздел не только не поможет, но в некоторых случаях может и замедлить работу программ.

Таким образом, суммируя все вышенаписанное, файл подкачки — важная составляющая часть Windows и лучше бы Вам его не трогать, если Вы только точно не знаете, зачем вы это делаете.

Время на прочтение

По запросу в любой поисковой системе «файл подкачки windows» можно получить тысячу-другую скопированных друг у друга, либо немного отличающихся ответов по выбору оптимальных размеров для pagefile.sys.

Самые распространенные советы выглядят примерно следующим образом: для машин с маленьким ОЗУ нужно задавать размер файла подкачки k*RAM, где RAM — объем физической памяти, k — какой-нибудь коэффициент, коих много самых разнообразных. И 1,5, и 2, и даже 3 встречал. Если же планок памяти стоит на 4Гб и больше, то «смело отключайте виртуальную память в принципе».

Статья о том, стоит ли верить ли этим советам, и если да, то насколько.

Что такое файл подкачки?

pagefile.sys, он же файл подкачки — файл, представляющий собой виртуальную память, которая позволяет одновременно выполняться большому количеству процессов, которые все сразу не смогли бы поместиться в физической памяти.
По умолчанию после установки Windows файл подкачки увеличивается автоматически при заполнении текущего объема.

Если попытаться отключить файл подкачки в windows 7, система выдаст предупреждающее окно, в котором сообщит о неприятных последствиях:

Отсюда следует, что не стоит полностью отказываться от использования виртуальной памяти, иначе в случае краха не получится даже проанализировать причину сбоя. Указанный на скриншоте минимальный размер в 1МБ берется из расчета конфигурации дампа памяти в настройках «загрузка и восстановление»:

Если выбрать для записи отладочной информации полный дамп, то размер увеличивается на несколько порядков. У меня он составил 400МБ.

Кроме отсутствия возможности записи дампа, после отключения файла подкачки может появится назойливое сообщение о нехватке памяти. Появление его будет сопровождаться жуткими тормозами ресурсоемких приложений.

Если перенести файл подкачки на другой раздел

Куча статей по оптимизации вашей ОС рекомендует перенести файл подкачки на отдельно созданный и отформатированный в FAT32 раздел жесткого диска. При этом повышается быстродействие и уменьшается фрагментация этого файла.

При подобных манипуляциях не стоит забывать, что файл подкачки должен присутствовать в системном разделе для корректной записи отладочной информации. Выбирать приходится между быстродействием и возможностью сбора данных о возникших неприятностях.

Размер файла подкачки

Перекопав множество статей, информационных изданий и даже рекомендации Microsoft, я так и не нашел четкого и однозначного ответа на этот вопрос. Да и не нашел бы, как стало мне ясно после прочтения перевода статьи Марка Руссиновича Преодолевая ограничения Windows: виртуальная память. В заключении приведу ссылки на перевод и оригинал, а сейчас постараюсь объяснить, откуда же взять размер файла.

После запуска Process Explorer’a выберите самые ресурсоемкие в плане используемой памяти приложения, которые используете в повседневной жизни, и запустите их все одновременно. В окне Process Explorer’a нажмите CTRL+I или выберите в меню View/System Information, из всего многообразия представленных в окне данных нужно выбрать область Commit Charge

Значение Peak — пиковое значение выделенной памяти для всех приложений, складываемое из физической и виртуальной памяти.

Далее вооружаемся калькулятором и вычитаем из этого значения размер оперативной памяти. Если получается отрицательное значение — берем требуемые системой 400МБ (может быть другое значение), необходимые для создания дампа. Если получается положительное значение — выставляем таким минимальное и максимальное значение файла подкачки. Можно подстраховаться и установить «про запас» максимум выше, но тогда вырастет фрагментация файла в случае увеличения его размеров. Поэтому лучше зафиксировать на одном месте.

Литература

Статья Марка Руссиновича Pushing the Limits of Windows: Virtual Memory;
Перевод на русский язык Преодолевая ограничения Windows: виртуальная память;
Описание программы Process Explorer .

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Часть 1. Что скрывают pagefile. sys

Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.

Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.

Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.

Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager.

Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreFilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования).

На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.

Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.

Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:

Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.

Идем в поля

Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?

В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.

Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.

При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.

Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.

В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):

В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:

Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.

А что еще?

Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):

Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).

Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):

И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.

На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:

Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.

Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.

Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).

В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.

Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:

Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:

А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

Итак, pagefile.sys действительно может содержать большое количество различных артефактов, которые могут помочь в анализе. Именно поэтому никогда не стоит игнорировать исследование файла подкачки. Даже если есть у вас есть все необходимые данные — все равно исследуйте pagefile.sys. Практика показывает, что там может находиться что-то недостающее и важное.

Александр

Здравствуйте, меня зовут Александр, уже более 10 лет я занимаюсь ремонтом компьютером, этот сайт я создал чтобы делиться полезной и практической информацией с вами! Буду благодарен, если вы опишите свой опыт или мнение в комментарии, надеюсь, что данная информация принесёт только пользу

Оцените автора
WindowsComp.ru
Добавить комментарий