что такое pagefile sys и можно ли удалить
Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.
В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Часть 1. Что скрывают pagefile.sys
Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.
Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.
Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.
Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:
| Hidden | True | Owner SID | S-1-5-32-544 |
| System | True | Owner Name | Администраторы |
| Read Only | False | Group SID | S-1-5-18 |
| Archive | True | Group Name | SYSTEM |
Видно, что это скрытый системный файл, который так просто не скопировать.
Как тогда получить этот файл? Сделать это можно несколькими способами:
На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.
Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.
Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:
Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.
Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.
А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.
Идем в поля
Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?
В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.
Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.
При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.
Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.
В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):
В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:
Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.
А что еще?
Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.
В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):
Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).
Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):
И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.
Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:
Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys:
На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:
Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.
В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.
Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.
Ниже несколько примеров того, что обнаружили специалисты:
Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).
Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец).
Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:
В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.
Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:
Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:
А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.
Как удалить файл pagefile.sys – будут ли последствия
При использовании компьютеров и ноутбуков с Windows возникает большая путаница в отношении файла pagefile.sys. Мы объясним, для чего этот файл и можно ли его удалить.
Что такое файл pagefile.sys?
Windows использует pagefile.sys для хранения данных, которые, в противном случае, находились бы в оперативной памяти компьютера (RAM). Иногда просто не хватает места для хранения всех необходимых файлов в оперативной памяти, поэтому на вашем жестком диске или SSD появляется файл pagefile.sys (C:\pagefile.sys), готовый для сохранения наименее используемых файлов из оперативной памяти.
У него также есть другая роль: хранение информации о состоянии компьютера на случай сбоя или отключения питания.
Размер задается Windows, но вы можете изменить его вручную, если знаете, что делаете (и будете, если продолжите чтение).
Ваш компьютер будет отдавать предпочтение использованию вашей оперативной памяти для хранения данных, потому что чтение оттуда быстрее, чем с диска. Тем не менее, когда ваша RAM заполняется, Windows перемещает некоторые данные из вашей RAM обратно на жесткий диск в файл подкачки.
Таким образом, хотя pagefile.sys занимает много места на диске, он имеет решающее значение для работы Windows.
Можно ли удалить pagefile.sys – как это сделать
Вы, вероятно, читаете эту статью, потому что хотите избавиться от файла подкачки, чтобы освободить место на жестком диске. Хотя pagefile.sys находится в C:\pagefile.sys, вы не увидите его, если не скажете проводнику Windows показать скрытые файлы операционной системы.
На самом деле, файл pagefile.sys вы не можете и не должны удалять. Так как обратное означало бы, что Windows некуда помещать данные, когда физическая память заполнена, и, скорее всего, произойдет сбой (или приложение, которое вы используете, вылетит).
Есть пара вещей, которые вы можете сделать. Одним из них является перемещение файла на другой диск. Например, если вы пытаетесь освободить место на SSD, переместите pagefile.sys на жесткий диск HDD, если он у вас есть.
Это не должно отрицательно повлиять на производительность и может даже ускорить определенные процессы, поскольку нет необходимости выполнять резервное копирование файла подкачки при репликации основного диска.
Если вы хотите удалить его в любом случае, выполните следующие действия. После выбора «без файла подкачки» перезагрузите компьютер и удалите файл.
Как переместить pagefile.sys
Откройте панель управления, перейдите по пути Система и безопасность → Система → Дополнительные параметры системы.
Теперь нажмите кнопку Параметры в разделе Быстродействие, которая находится на вкладке Дополнительно.
Снова выберите вкладку «Дополнительно» в открывшемся окне и нажмите кнопку Изменить. » в разделе «Виртуальная память».
Важно убедиться, что вы перемещаете файл на другой физический диск, а не просто в другой раздел на том же жестком диске, если вы делаете это для повышения производительности.
Как изменить размер pagefile.sys
Вы можете изменить размер файла подкачки, чтобы он занимал меньше места. Однако, если на вашем компьютере недостаточно физической памяти, вы можете сначала добавить больше оперативной памяти.
Имеет смысл уменьшить размер файла подкачки, если вы удвоили объем оперативной памяти. В противном случае файл подкачки может оказаться слишком маленьким, чтобы вместить все страницы памяти, которые необходимо хранить.
Выполните действия, описанные выше (за исключением нажатия «Без файла подкачки», затем выполните следующие действия:
Затем умножьте максимальный объем выделенной памяти на 1,2 и вычтите объем физической памяти.
В нашем случае это (33,9 ГБ * 1,2) − 32 ГБ = 8,68 ГБ. Это меньше, чем размер по умолчанию – 12 ГБ, поэтому расширение памяти пока не имеет смысла, но лучше обновить вашу оперативную память, если вы хотите иметь небольшой файл подкачки.
Pagefile.sys — что это такое? Как удалить или перенести его?
Здравствуйте Друзья! В этой статье мы разберемся что есть — Pagefile.sys, как его удалить, изменить или перенести на другой диск. По мере освоения компьютера пользователю попадается на глаза этот скрытый файл в корне системного диска. И так как этот файл занимает гигабайты свободного пространства, то появляется закономерный вопрос. — А что это за файл и для чего он нужен и нужен ли он мне вообще? После того как пользователь узнает об этом файле ему становится необходимо управлять им. Удалять, изменять размер или переносить на другой диск. Как это все делать вы узнаете в этой статье. Если кому нужно быстро, то посмотрите видео в конце статьи.
2_07_2014. Важно! Прочитайте пожалуйста всю статью и особенно заключение, а после настраивайте Pagefile.sys.
Pagefile.sys — что это такое?
Pagefile.sys — это файл подкачки операционной системы Windows. Так же часто его называют виртуальной памятью. Это тот самый файл, который приходит на помощью когда в системе заканчивается оперативная память. В эти критические моменты, чтобы компьютер не зависал, а хоть и медленно, но продолжал работать, система обращается за поддержкой к этому файлу.
В него Windows сбрасывает все то, что не помещается в данный момент в оперативной памяти. Из всего содержимого памяти выбирается то, что менее используется или использовалось давно (то есть информация которая скорее всего будет наименее востребована по крайней мере в ближайшее время) и записывается в файл Pagefile.sys, освобождая тем самым место для используемой информации в данный момент.
Это дает следующие преимущества. Система может использовать больше «оперативной» памяти, чем установлено в компьютере, а пользователь, соответственно, сможет запускать сколько нужно приложений и при этом система не зависнет. С огромной вероятностью, компьютер будет тормозить, но зависнуть не должен.
То есть это резерв, если вам нужно иногда выполнять ресурсоёмкие задачи, такие как конвертирование видео или просто поиграть в современную игру. Почему написал — иногда, потому, что компьютер, как уже говорил, будет тормозить и удовольствия от такой работы или игры вы скорее всего не получите.
Почему же компьютер тормозит при использовании файла подкачки. Потому что увеличивается нагрузка на жесткий диск вашего компьютера. Ему необходимо работать и за себя и за оперативную память. Сие приводит не только к потери нервных клеток пользователя, но и к сокращению ресурса работы HDD. Поэтому, если вы почувствовали, что крепко используете Pagefile.sys, то задумайтесь над увеличением оперативной памяти вашего компьютера. Как это сделать можно прочитать и посмотреть тут. После увеличения ОЗУ этот файл можно будет удалить без каких-либо последствий.
Как удалить Pagefile.sys?
В Windows 7 и Windows 8 это делается следующим образом. Переходите по следующему пути
Пуск > Панель управления > Система и безопасность > Система
В открывшемся окне Свойства системы в поле Быстродействие нажимаем Параметры…
Открывается окошко Параметры быстродействия. Переходите на вкладку Дополнительно и нажимаете Изменить…
Когда напротив каждого диска у вас будет в столбце Файл подкачки значение «Отсутствует» (как у рисунке выше) нажимаете ОК — 4.
Теперь для окончательного удаления Pagefile.sys необходимо перезагрузить компьютер.
Как изменить Pagefile.sys?
После этих манипуляций система сама будет следить за файлом Pagefile.sys и при необходимости его увеличит.
Если вы хотите сами задать определенные значения для файла подкачки, чтобы в процессе работы Windows его не трогала (в момент изменения файла Pagefile.sys система будет тратить свои ресурсы и возможно будут наблюдаться некоторые тормоза), необходимо задать точный размер.
2_07_2014. На рисунке выше показан принцип изменения файла Pagefile.sys. И здесь есть одна ошибка (Иван спасибо). Я задаю Максимальный размер больше чем у меня имеется свободного места. Это в корне неправильно. Должно быть на системном диске не менее 15% свободного места. Подробнее читайте в заключении.
Вот таким образом можно изменить файл подкачки.
Как перенести Pagefile.sys на другой диск?
Перенос Pagefile.sys на другой диск может быть вызван нехваткой места на системном разделе. И самый простой способ резко его увеличить — переместить файл подкачки. Для этого в том же окошке Виртуальная память удаляем файл подкачки на диске С. Затем выбираем любой другой (не системный) раздел. Например E (желательно чтобы на нем было достаточно свободного места, гигабайт 50 хотя бы). Затем или задаете точный исходный и максимальный размер или устанавливаете размер Pagefile.sys по выбору системы — 2. Нажимаете Задать — 3 и ОК — 4.
После, необходимо перезагрузить компьютер для вступления изменений в силу.
Заключение
02_07_2014. Основная мысль следующая. На системном диске должно быть не менее 15% свободного места иначе не будет полностью выполняться дефрагментация и, следовательно, немного снижена быстродействие системы. То есть у вас с максимальным размером файла Pagefile.sys должно оставаться не менее 15% свободного пространства на диске. Если желаемый размер файла подкачки не влезает на системный диск, то необходимо оставить минимум 200 МБ файла подкачки на диске С (это необходимо для записи дампов памяти, которые в свою очередь помогут в анализе синих экранов смерти), а все остальное место для файла подкачки выделить на другом разделе. То есть у вас файл подкачки будет на двух или более дисках.
Для поднятия уровня производительности своего компьютера можно использовать технологию ReadyBoost при условии наличия ненужной флешки.
Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!
Файл pagefile.sys
Где находится и за что отвечает pagefile.sys?
По своей сути рассматриваемый объект является файлом подкачки операционной системы Windows и выполняет очень важную миссию. Чтобы ее понять, изучите нижеизложенную информацию.
Вне зависимости от того, каким объемом оперативной памяти будет оснащен ваш ноутбук или компьютер, некоторым играм и программам все равно не будет хватать представленных возможностей. Именно в таких ситуациях и применяется рассматриваемый сегодня файл, обеспечивая операционную систему дополнительными ресурсами и гарантируя нормальную работу запускаемых приложений.
По умолчанию pagefile.sys хранится в корне локального диска С:\ или другого раздела, выбранного для установки операционной системы. Чтобы найти его на своем компьютере, последовательно выполните шаги нижеприведенного руководства.
Можете детально ознакомиться со всей доступной системной информацией о нем и приступать к дальнейшим действиям.
Можно удалить pagefile.sys и зачем это делать?
К удалению рассматриваемого нами сегодня файла пользователей подталкивает несколько причин. Наиболее часто встречаются 2 провоцирующих фактора, а именно:
С первой причиной все понятно – место никогда лишним не бывает. Однако в настоящее время, когда даже самые простые ноутбуки комплектуются жесткими дисками на 1 Тб и более, а видео и музыку пользователи преимущественно проигрывают онлайн, ничего не скачивая и не сохраняя в памяти компьютера, экономия нескольких гигабайт вряд ли будет иметь большой смысл. Как показывает практика, если место на жестком диске и заканчивается, то наверняка пользователь хранит много ненужной информации. Поэтому в первую очередь рекомендуется избавляться именно от «мусора», а не от полезных системных файлов.
Что касается производительности, здесь тоже можно долго рассуждать и дискутировать. Разумеется, Windows сможет нормально работать с выключенным/удаленным файлом подкачки, если компьютер укомплектован большим объемом оперативной памяти, однако на производительности системы в целом это может в итоге отразиться не самым лучшим образом.
К примеру, некоторым программам может быть недостаточно даже 8-16 Гб оперативной памяти, не говоря уже о более скромных показателях. Приложения будут «глючить», «вылетать» и в целом нестабильно работать. Некоторые программы, к примеру, различные виртуальные машины, без pagefile.sys и вовсе не запускаются.
Как удалить pagefile.sys?
Решили, что сможете замечательно обойтись и без этого системного файла? Тогда смело его отключайте и удаляйте из памяти своего компьютера. Для этого следуйте нижеизложенной инструкции.