В Windows 8 есть следующие два файла в C:\
Какова цель этого дополнительного файла swapfile.sys ?
Я ищу авторитетный ответ на этот вопрос. В Интернете уже достаточно предположений об этом.
От сотрудника Microsoft на форумах Technet.
Это специальный тип файла подкачки, используемый системой для повышения эффективности определенных типов операций подкачки. Это не связано с автоматической настройкой дампа.
Приостановка / возобновление приложений в стиле Metro - это один сценарий, в будущем возможны и другие.
Несколько ссылок из опубликованных ответов заканчиваются ссылками на него, но http://blogs.technet.com/b/askperf/archive/2012/10/28/windows-8-windows-server-2012-the-new -swap-file.aspx
кажется более определенным ответом:
Вы можете спросить: «Зачем нам нужен еще один файл виртуальной страницы?» Итак, с появлением Modern App нам понадобился способ управления их памятью вне традиционного метода Virtual Memory/Pagefile. С этим родился «% SystemDrive%\swapfile.sys».
Windows 8 может эффективно записать весь (частный) рабочий набор приостановленного приложения Modern на диск, чтобы получить дополнительную память, когда система обнаруживает давление. Этот процесс аналогичен гибернации определенного приложения, а затем возобновлению его, когда пользователь снова переключается на приложение. В этом случае Windows 8 использует механизм приостановки / возобновления работы современных приложений для очистки или повторного заполнения рабочего набора приложения.
Хотя я не совсем уверен, какова его цель, похоже, он используется для хранения / кэширования содержимого, которое используется в данный момент.
Если вам интересно узнать, что находится внутри, вы можете получить заблокированные файлы, такие как swapfile.sys или pagefile.sys, из работающей системы Windows, используя FGET (Forensic Get by HBGary).
Выполните следующую команду (от имени администратора):
FGET -extract %systemdrive%\swapfile.sys OUTPUT_PATH
После чего вы можете выполнить анализ строк с помощью Strings. В swapfile.sys на моей системе, между прочим, я нашел:
мой адрес электронной почты, несколько адресов электронной почты и адресов электронной почты, переменные среды, частичное содержимое посещенных веб-страниц, строки mimetype, строки пользовательских агентов, файлы XML, URL-адреса, IP-адреса, имена пользователей, имена библиотечных функций, настройки приложений, строки пути и т. д.
Я также попытался вырезать файл для поиска распространенных графических форматов и нашел несколько файлов JPEG и PNG, состоящих из значков приложений, ресурсов веб-страниц, нескольких изображений профиля, ресурсов изображений из приложений Metro и т.д.
FGET не работает для вас, попробуйте использовать ifind и icat из The Sleuth Kit .
Вы можете найти номер записи MFT для swapfile.sys, используя ifind следующим образом:
ifind -n /swapfile.sys \\.\%systemdrive%
Когда у вас есть номер инода, вы можете получить файл с помощью icat следующим образом:
icat \\.\%systemdrive% INODE_NUMBER > OUTPUT_PATH
Например:
C:\>ifind -n /swapfile.sys \\.\%systemdrive% 1988 C:\>icat \\.\%systemdrive% 1988 > %systemdrive%\swapfile.dmp
ПРИМЕЧАНИЕ. Необходимо запустить обе команды из командной строки с повышенными правами (т. cmd от имени администратора)