Chociaż nie jestem do końca pewien, jaki jest jego cel, wygląda na to, że służy do przechowywania / buforowania zawartości, która jest obecnie używana.
Jeśli chcesz zobaczyć, co jest w środku, możesz uzyskać zablokowane pliki, takie jak swapfile.sys lub pagefile.sys z działającego systemu Windows za pomocą FGET
(Forensic Get by HBGary).
Uruchom następujące polecenie (jako administrator):
FGET -extract% systemdrive% \ swapfile.sys OUTPUT_PATH
Następnie możesz wykonać analizę ciągu za pomocą Strings
. W swapfile.sys w moim systemie znalazłem między innymi:
mój adres e-mail, kilka e-maili i adresów e-mail, zmienne środowiskowe, częściowa zawartość odwiedzonych stron internetowych, ciągi mimetype, ciągi agenta użytkownika, pliki XML, adresy URL, adresy IP, nazwy użytkowników, nazwy funkcji biblioteki, preferencje aplikacji, ciągi ścieżek itp.
Próbowałem też wyrzeźbić plik w poszukiwaniu popularnych formatów obrazów i znalazłem kilka plików JPEG i PNG zawierających ikony aplikacji, zasoby strony internetowej, kilka zdjęć profilowych, zasoby obrazów z aplikacji Metro itp.
Jeśli
FGET
to nie działa, spróbuj użyć
ifind
i
icat
od
The Sleuth Kit . Można znaleźć numer wpisu MFT dla
swapfile.sys wykorzystujących
ifind
w sposób następujący:
ifind -n /swapfile.sys \\. \% systemdrive%
Po uzyskaniu numeru i-węzła można pobrać plik icat
w następujący sposób:
icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH
Na przykład:
C: \> ifind -n /swapfile.sys \\. \% Systemdrive%
1988
C: \> icat \\. \% Systemdrive% 1988>% systemdrive% \ swapfile.dmp
UWAGA: Musisz uruchomić oba polecenia z wiersza polecenia z podwyższonym poziomem uprawnień (tj. Uruchomić cmd
jako administrator)