Si bien no estoy exactamente seguro de cuál es su propósito, parece que se usa para almacenar / almacenar en caché el contenido que está actualmente en uso.
Si tiene curiosidad por ver lo que hay dentro, puede adquirir archivos bloqueados como swapfile.sys o pagefile.sys de un sistema Windows en ejecución usando FGET
(Forensic Get by HBGary).
Ejecute el siguiente comando (como administrador):
FGET -extract% systemdrive% \ swapfile.sys OUTPUT_PATH
Después de lo cual puede realizar un análisis de cadena usando Strings
. Dentro de swapfile.sys en mi sistema, entre otras cosas que encontré:
mi dirección de correo electrónico, varios correos electrónicos y direcciones de correo electrónico, variables de entorno, contenido parcial de páginas web que visité, cadenas de tipo mime, cadenas de agente de usuario, archivos XML, URL, direcciones IP, nombres de usuario, nombres de funciones de biblioteca, preferencias de aplicación, cadenas de ruta, etc.
También intenté tallar el archivo para buscar formatos de imagen comunes y encontré varios archivos JPEG y PNG que comprenden iconos de aplicaciones, recursos de páginas web, varias imágenes de perfil, recursos de imágenes de aplicaciones de Metro, etc.
Si
FGET
no funciona para usted, intente usar
ifind
y
icat
desde
The Sleuth Kit . Puede encontrar el número de entrada MFT para
swapfile.sys usando
ifind
lo siguiente:
ifind -n /swapfile.sys \\. \% systemdrive%
Una vez que tenga el número de inodo, puede recuperar el archivo de la icat
siguiente manera:
icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH
Por ejemplo:
C: \> ifind -n /swapfile.sys \\. \% Systemdrive%
1988
C: \> icat \\. \% Systemdrive% 1988>% systemdrive% \ swapfile.dmp
NOTA: debe ejecutar ambos comandos desde un símbolo del sistema elevado (es decir, ejecutar cmd
como administrador)