Embora não tenha exatamente certeza de qual é o objetivo, parece que ele é usado para armazenar / armazenar em cache o conteúdo atualmente em uso.
Se você estiver curioso para ver o que há dentro, poderá adquirir arquivos bloqueados como swapfile.sys ou pagefile.sys em um sistema Windows em execução usando o FGET
(Forensic Get by HBGary).
Execute o seguinte comando (como administrador):
FGET -extract% systemdrive% \ swapfile.sys OUTPUT_PATH
Após o qual você pode executar uma análise de string usando Strings
. Dentro do swapfile.sys no meu sistema, entre outras coisas que encontrei:
meu endereço de e-mail, vários e-mails e endereços de e-mail, variáveis de ambiente, conteúdo parcial de páginas da web que visitei, seqüências de caracteres de tipo MIME, sequências de agente de usuário, arquivos XML, URLs, endereços IP, nomes de usuários, nomes de funções de biblioteca, preferências de aplicativos, sequências de caminho, etc.
Também tentei gravar o arquivo para procurar formatos de imagem comuns e encontrei vários JPEGs e PNGs, incluindo ícones de aplicativos, recursos de páginas da web, várias fotos de perfil, recursos de imagem de aplicativos Metro, etc.
Se
FGET
não funciona para você, tente usar
ifind
e
icat
de
O Kit Sleuth . Você pode encontrar o número da entrada MFT para
swapfile.sys usando
ifind
o seguinte:
ifind -n /swapfile.sys \\. \% systemdrive%
Depois de ter o número do inode, você pode recuperar o arquivo da icat
seguinte maneira:
icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH
Por exemplo:
C: \> ifind -n /swapfile.sys \\. \% Systemdrive%
1988
C: \> icat \\. \% Systemdrive% 1988>% systemdrive% \ swapfile.dmp
NOTA: Você precisa executar os dois comandos em um prompt de comando elevado (por exemplo, executar cmd
como Administrador)