Что такое pagefile sys
Системный файл pagefile.sys: как его удалять, перемещать, изменять размер, и для чего он нужен
Операционная система Windows 10 очень ресурсоемкая, для ее нормальной работы требуются много свободной вычислительной мощности даже по нынешним меркам. Нередко ей становится недостаточно объема памяти, предоставляемого физической оперативной памятью (RAM), чтобы вместить все запущенные процессы.
Операционная система Windows 10 очень ресурсоемкая, для ее нормальной работы требуются много свободной вычислительной мощности даже по нынешним меркам. Нередко ей становится недостаточно объема памяти, предоставляемого физической оперативной памятью (RAM), чтобы вместить все запущенные процессы.
Что такое pagefile.sys?
В Windows10 реализовано автоматическое управление файлом подкачки. Неумелыми действиями с этим файлом можно нанести непоправимый ущерб операционной системе, поэтому он надежно спрятан от простых пользователей, и многие даже не догадываются о его существовании. Но иногда бывает необходимо получить и ручной доступ к этому файлу, чтобы перенести его на внешний диск или ограничить в размерах, когда нужно освободить место на основном диске и увеличить общую производительность системы.
Можно ли удалить файл pagefile.sys?
Как удалить pagefile.sys?
Удалять pagefile.sys категорически не рекомендуется, но все же это можно сделать, когда есть уверенность, что файл поврежден и вызывает проблемы в работе Windows.
Просмотр скрытых файлов операционной системы
Прежде чем удалить pagefile.sys, его нужно сделать видимым и доступным для манипуляций.
Первое, что для этого понадобится, это открыть проводник и перейти на диск C.
Чтобы развернуть меню ленты, нужно нажать комбинацию клавиш Control + F1, далее нажать «Просмотр», а затем выбрать «Параметры».
В раскрывшемся меню следует нажать на вкладку «Вид» и затем снять галочку «Скрыть защищенные файлы операционной системы (рекомендуется)».
Далее следует отметить включенным параметр «Показать скрытые файлы, папки и диски» и нажать кнопку «Применить». После этого pagefile.sys, как и все остальные скрытые файлы, станет доступен для просмотра.
Удаление файла pagefile.sys
После удаления файла потребуется перезагрузка Windows.
Как переместить файл pagefile.sys
По умолчанию размер файла pagefile.sys составляет около 12 ГБ. Однако он может сильно отличаться от среднего значения в зависимости от вычислительной мощности компьютера и от объема физической памяти.
Чтобы увеличить свободное пространство на основном жестком диске, файл подкачки можно переместить на внешний накопитель. Вдобавок к освободившемуся месту в постоянном хранилище данных это приведет к увеличению общей производительности системы, которое будет тем заметнее, чем более высокотехнологичная основа заложена в устройстве внешнего накопителя. Предпочтительнее всего выбирать внешний жесткий диск на основе твердотельного накопителя SSD с интерфейсом USB 3.0. Вне зависимости от типа жесткого диска, нужно убедиться, что он отформатирован в файловой системе NTFS, которая способна работать с файлами больших размеров.
Доступ к расширенным настройкам системы
В появившемся новом окне следует перейти на вкладку «Дополнительно», найти раздел «Виртуальная память» и нажать «Изменить».
Перенос файла на внешний накопитель
После этого в разделе «Файл управления системой» нужно выбрать «Нет файла подкачки». Затем выбрать внешний диск, который отображается в списке под диском C.
Далее остается нажать кнопку «Установить» и выбрать «Да» под появившимся окном с предупреждением.
Чтобы изменения вступили в силу, понадобится перезагрузить компьютер. После перезагрузки Windows 10 автоматически удалит старый файл pagefile.sys и создаст новый на внешнем диске.
Как изменить размер pagefile.sys
Самый лучший способ уменьшить размер файла подкачки – это установить дополнительные модули физической оперативной памяти. Чем больше в распоряжении системы есть физической оперативной памяти, тем меньше она нуждается в файле подкачки, поэтому Windows автоматически уменьшает pagefile.sys с увеличением объема RAM. Например, в компьютере с 32 ГБ оперативной памяти под управлением Windows 10 файл подкачки редко когда превышает 2,5 ГБ.
Просмотр загруженности системных ресурсов через диспетчер задач
Далее нужно перейти на вкладку «Производительность» и выбрать «Память». В этой вкладке отображается, сколько виртуальной памяти задействовано в данный момент времени. Чтобы получить приблизительное представление о среднем размере файла pagefile.sys, нужно отслеживать этот показатель в течение нескольких дней.
Установка ограничения на размер файла подкачки
Чтобы получить доступ к соответствующим настройкам, нужно ввести слово «Дополнительно» в строке поиска панели управления, затем выбрать «Просмотреть расширенные настройки системы». В разделе «Производительность» нужно нажать «Настройки».
Далее в открывшемся новом окне следует перейти на вкладку «Дополнительно», найти раздел «Виртуальная память» и нажать «Изменить».
В окне «Виртуальная память» нужно снять флажок «Автоматически управлять размером файла подкачки на каждом диске», после чего выбрать опцию «Нестандартный размер». В поле «начальный размер» следует задать значение не менее 800 МБ.
В поле «Максимальный размер» нужно ввести желаемый верхний предел для размера файла подкачки. Следует помнить, что 1 ГБ = 1024 МБ, поэтому, например, чтобы получить максимальный размер 8 ГБ, в настройках надо указать 8 192 МБ.
Чтобы подтвердить сделанные изменения, нужно нажать кнопку «Установить».
Pagefile sys: что это за файл в Windows 10 и Windows 7
Изучая файлы на системном диске, пользователи часто обнаруживают файл Pagefile.sys. Данный файл лежит в корне системного диска и в большинстве случаев занимает много места. В стремлении освободить как можно больше места на системном диске пользователи задаются вопросом, что за файл Pagefile.sys, для чего он используется и как его удалить.
Что такое Pagefile.sys
Pagefile.sys это файл подкачки Windows. Если по-простому, то это продолжение оперативной памяти на жестком диске. Когда программы расходуют всю имеющуюся на компьютере оперативную память, то операционная система начинает выгружать из оперативной памяти в файл подкачки те данные, которые на данный момент не используются. Освободившиеся при этом место занимается новыми данными и новыми программами. А когда данные из файла подкачки снова понадобятся в работе, система снова загружает их в оперативную память. Такой процесс позволяет поддерживать работу операционной системы и программ, даже тогда, когда оперативная память закончилась. Если бы не этот механизм, то компьютер бы регулярно зависал и сообщал об ошибках.
С другой стороны, использование файла Pagefile.sys как продолжения оперативной памяти имеет некоторые недостатки. Во-первых, скорость работы. Жесткие диски самый медленный компонент компьютера. Поэтому, когда компьютеру приходится выгружать данные с файла Pagefile.sys, который находится на жестком диске, в оперативной память, то начинаются зависания. В такие моменты программы или вся операционная система может кратковременно подвисать. Использования твердотельных накопителей (SSD) немного улучшает ситуацию, но решает проблему полностью, поскольку SSD все равно намного медленней оперативной памяти. Второй недостаток – место на жестком диске. Pagefile.sys занимает немало места на системном диске, что особенно актуально для SSD, которые имеет очень скромный объем.
Как удалить Pagefile.sys
Еще один распространенный вопрос на данную тему, это вопрос о том, как удалить Pagefile.sys и можно ли удалять Pagefile.sys. Что касается первого вопроса то, да файл Pagefile.sys можно удалить. Такая возможность предусмотрена в операционной системе Windows. Для этого нужно открыть «Панель управления» и перейти в раздел «Система и безопасность – Система». Здесь нужно нажать на ссылку «Дополнительные параметры системы».
Дальше нужно нажать на кнопку «Параметры».
Потом перейти на вкладку «Дополнительно» и нажать на кнопку «Изменить».
В результате перед вами должно открыть окно с настройками файла Pagefile.sys. Для того чтобы удалить Pagefile.sys вам нужно снять галочки напротив функции «Автоматически выбирать объем файла подкачки», включить функцию «Без файла подкачки» и сохранить настройки нажатием на кнопку «Ok».
В результате таких манипуляций файл Pagefile.sys будет удален. Но, делать это не стоит, даже если у вас большой объем оперативной памяти. От удаления файла Pagefile.sys вы ничего не выиграете. Ваш компьютер не станет работать быстрее. А вот, зависания и вылеты программ могут появиться. Ведь теперь у вас не будет подстраховки на случай если система израсходует всю оперативную память.
Что касается места на системном диске, то его лучше освободить другим способом. Например, вы можете запустить очистку диска и удалить мусорные файлы, которые накопились в системе. В крайнем случае файл Pagefile.sys можно перенести на другой диск.
Как перенести файл Pagefile.sys на другой диск
Для того чтобы перенести файл Pagefile.sys на другой диск вам нужно открыть настройки так как это описано выше. После этого отключите автоматический выбор объема файла подкачки.
Дальше отключите файл подкачки для системного диска (обычно это диск C). Чтобы применить настройки нажмите на кнопку «Задать». После нажатия на эту кнопку вы можете получить окно с предупреждением. В этом окне просто нажмите на кнопку «Ok».
После этого нужно выбрать другой диск и включить для него файл Pagefile.sys. Для этого можно указать размер файла вручную или выбрать вариант «Размер по выбору системы». После внесения всех настроек снова нажмите на кнопку «Задать».
Для того чтобы изменения сохранились закройте окно нажатием на кнопку «Ok» и перезагрузите компьютер. После перезагрузки файл Pagefile.sys будет перенесен на другой диск.
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Задайте вопрос в комментариях под статьей или на странице «Задать вопрос» и вы обязательно получите ответ.
Файл подкачки Windows
По запросу в любой поисковой системе «файл подкачки windows» можно получить тысячу-другую скопированных друг у друга, либо немного отличающихся ответов по выбору оптимальных размеров для pagefile.sys.
Самые распространенные советы выглядят примерно следующим образом: для машин с маленьким ОЗУ нужно задавать размер файла подкачки k*RAM, где RAM — объем физической памяти, k — какой-нибудь коэффициент, коих много самых разнообразных. И 1,5, и 2, и даже 3 встречал. Если же планок памяти стоит на 4Гб и больше, то «смело отключайте виртуальную память в принципе».
Статья о том, стоит ли верить ли этим советам, и если да, то насколько.
Что такое файл подкачки?
pagefile.sys, он же файл подкачки — файл, представляющий собой виртуальную память, которая позволяет одновременно выполняться большому количеству процессов, которые все сразу не смогли бы поместиться в физической памяти.
По умолчанию после установки Windows файл подкачки увеличивается автоматически при заполнении текущего объема.
Если отключить файл подкачки
Если попытаться отключить файл подкачки в windows 7, система выдаст предупреждающее окно, в котором сообщит о неприятных последствиях: 
Отсюда следует, что не стоит полностью отказываться от использования виртуальной памяти, иначе в случае краха не получится даже проанализировать причину сбоя. Указанный на скриншоте минимальный размер в 1МБ берется из расчета конфигурации дампа памяти в настройках «загрузка и восстановление»:
Если выбрать для записи отладочной информации полный дамп, то размер увеличивается на несколько порядков. У меня он составил 400МБ.
Кроме отсутствия возможности записи дампа, после отключения файла подкачки может появится назойливое сообщение о нехватке памяти. Появление его будет сопровождаться жуткими тормозами ресурсоемких приложений.
Если перенести файл подкачки на другой раздел
Куча статей по оптимизации вашей ОС рекомендует перенести файл подкачки на отдельно созданный и отформатированный в FAT32 раздел жесткого диска. При этом повышается быстродействие и уменьшается фрагментация этого файла.
При подобных манипуляциях не стоит забывать, что файл подкачки должен присутствовать в системном разделе для корректной записи отладочной информации. Выбирать приходится между быстродействием и возможностью сбора данных о возникших неприятностях.
Размер файла подкачки
Вернемся к нашим апельсинам к вопросу об оптимальном размере. Перекопав множество статей, информационных изданий и даже рекомендации Microsoft, я так и не нашел четкого и однозначного ответа на этот вопрос. Да и не нашел бы, как стало мне ясно после прочтения перевода статьи Марка Руссиновича Преодолевая ограничения Windows: виртуальная память. В заключении приведу ссылки на перевод и оригинал, а сейчас постараюсь объяснить, откуда же взять размер файла.
Для начала потребуется утилита Process Explorer, она является бесплатным аналогом дефолтного Task Manager’a, но обладает многими преимуществами. Скачать можно по ссылке.
После запуска Process Explorer’a выберите самые ресурсоемкие в плане используемой памяти приложения, которые используете в повседневной жизни, и запустите их все одновременно. В окне Process Explorer’a нажмите CTRL+I или выберите в меню View/System Information, из всего многообразия представленных в окне данных нужно выбрать область Commit Charge
Значение Peak — пиковое значение выделенной памяти для всех приложений, складываемое из физической и виртуальной памяти.
Далее вооружаемся калькулятором и вычитаем из этого значения размер оперативной памяти. Если получается отрицательное значение — берем требуемые системой 400МБ (может быть другое значение), необходимые для создания дампа. Если получается положительное значение — выставляем таким минимальное и максимальное значение файла подкачки. Можно подстраховаться и установить «про запас» максимум выше, но тогда вырастет фрагментация файла в случае увеличения его размеров. Поэтому лучше зафиксировать на одном месте.
Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.
В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Часть 1. Что скрывают pagefile.sys
Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.
Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.
Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.
Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:
| Hidden | True | Owner SID | S-1-5-32-544 |
| System | True | Owner Name | Администраторы |
| Read Only | False | Group SID | S-1-5-18 |
| Archive | True | Group Name | SYSTEM |
Видно, что это скрытый системный файл, который так просто не скопировать.
Как тогда получить этот файл? Сделать это можно несколькими способами:
На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.
Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.
Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:
Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.
Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.
А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.
Идем в поля
Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?
В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.
Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.
При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.
Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.
В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):
В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:
Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.
А что еще?
Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.
В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):
Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).
Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):
И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.
Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:
Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys:
На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:
Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.
В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.
Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.
Ниже несколько примеров того, что обнаружили специалисты:
Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).
Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец).
Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:
В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.
Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:
Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:
А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.