Хотя я не совсем уверен, какова его цель, похоже, он используется для хранения / кэширования содержимого, которое используется в данный момент.
Если вам интересно узнать, что находится внутри, вы можете получить заблокированные файлы, такие как swapfile.sys или pagefile.sys, из работающей системы Windows, используя FGET
(Forensic Get by HBGary).
Выполните следующую команду (от имени администратора):
FGET -extract% systemdrive% \ swapfile.sys OUTPUT_PATH
После чего вы можете выполнить анализ строки с помощью Strings
. В swapfile.sys на моей системе, среди прочего я нашел:
мой адрес электронной почты, несколько адресов электронной почты и адресов электронной почты, переменные среды, частичное содержимое посещенных веб-страниц, строки mimetype, строки пользовательских агентов, файлы XML, URL-адреса, IP-адреса, имена пользователей, имена библиотечных функций, настройки приложений, строки путей и т. д.
Я также попытался вырезать файл для поиска распространенных графических форматов и нашел несколько файлов JPEG и PNG, состоящих из значков приложений, ресурсов веб-страниц, нескольких изображений профиля, ресурсов изображений из приложений Metro и т. Д.
Если у
FGET
вас не работает, попробуйте использовать
ifind
и
icat
из
набора Sleuth Kit . Вы можете найти номер записи MFT для
swapfile.sys с использованием
ifind
следующим образом :
ifind -n /swapfile.sys \\. \% systemdrive%
Получив номер индекса, вы можете получить файл, используя icat
следующую команду :
icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH
Например:
C: \> ifind -n /swapfile.sys \\. \% Systemdrive%
1988
C: \> icat \\. \% Systemdrive% 1988>% systemdrive% \ swapfile.dmp
ПРИМЕЧАНИЕ. Необходимо запустить обе команды из командной строки с повышенными правами (т. Е. Запускать с правами cmd
администратора).