Хотя я не совсем уверен, какова его цель, похоже, он используется для хранения / кэширования содержимого, которое используется в данный момент.
Если вам интересно узнать, что находится внутри, вы можете получить заблокированные файлы, такие как swapfile.sys или pagefile.sys, из работающей системы Windows, используя FGET
(Forensic Get by HBGary).
Выполните следующую команду (от имени администратора):
FGET -extract %systemdrive%\swapfile.sys OUTPUT_PATH
После чего вы можете выполнить анализ строк с помощью Strings
. В swapfile.sys на моей системе, между прочим, я нашел:
мой адрес электронной почты, несколько адресов электронной почты и адресов электронной почты, переменные среды, частичное содержимое посещенных веб-страниц, строки mimetype, строки пользовательских агентов, файлы XML, URL-адреса, IP-адреса, имена пользователей, имена библиотечных функций, настройки приложений, строки пути и т. д.
Я также попытался вырезать файл для поиска распространенных графических форматов и нашел несколько файлов JPEG и PNG, состоящих из значков приложений, ресурсов веб-страниц, нескольких изображений профиля, ресурсов изображений из приложений Metro и т.д.
Если
FGET
не работает для вас, попробуйте использовать
ifind
и
icat
из
The Sleuth Kit .
Вы можете найти номер записи MFT для
swapfile.sys, используя
ifind
следующим образом:
ifind -n /swapfile.sys \\.\%systemdrive%
Когда у вас есть номер инода, вы можете получить файл с помощью icat
следующим образом:
icat \\.\%systemdrive% INODE_NUMBER > OUTPUT_PATH
Например:
C:\>ifind -n /swapfile.sys \\.\%systemdrive%
1988
C:\>icat \\.\%systemdrive% 1988 > %systemdrive%\swapfile.dmp
ПРИМЕЧАНИЕ. Необходимо запустить обе команды из командной строки с повышенными правами (т. cmd
от имени администратора)