Anche se non sono esattamente sicuro di quale sia lo scopo, sembra che venga utilizzato per archiviare / memorizzare nella cache il contenuto attualmente in uso.
Se sei curioso di vedere cosa c'è dentro, puoi acquisire file bloccati come swapfile.sys o pagefile.sys da un sistema Windows in esecuzione utilizzando FGET
(Forensic Get by HBGary).
Eseguire il comando seguente (come amministratore):
FGET -extract% systemdrive% \ swapfile.sys OUTPUT_PATH
Dopodiché puoi eseguire un'analisi delle stringhe usando Strings
. All'interno di swapfile.sys sul mio sistema, tra le altre cose ho trovato:
il mio indirizzo e-mail, diverse e-mail e indirizzi e-mail, variabili di ambiente, contenuto parziale da pagine Web visitate, stringhe di tipo mimet, stringhe agente utente, file XML, URL, indirizzi IP, nomi utente, nomi di funzioni della libreria, preferenze dell'applicazione, stringhe di percorso, ecc.
Ho anche provato a intagliare il file per cercare formati di immagine comuni e ho trovato diversi file JPEG e PNG comprendenti icone delle applicazioni, risorse di pagine Web, diverse immagini di profilo, risorse di immagini da app Metro, ecc.
Se
FGET
non funziona per te, prova a utilizzare
ifind
e
icat
da
The Sleuth Kit . È possibile trovare il numero di voce MFT per
swapfile.sys usando
ifind
come segue:
ifind -n /swapfile.sys \\. \% systemdrive%
Una volta ottenuto il numero di inode, è possibile recuperare il file usando icat
come segue:
icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH
Per esempio:
C: \> ifind -n /swapfile.sys \\. \% Systemdrive%
1988
C: \> icat \\. \% Systemdrive% 1988>% systemdrive% \ swapfile.dmp
NOTA: è necessario eseguire entrambi i comandi da un prompt dei comandi con privilegi elevati (ovvero eseguire cmd
come amministratore)