Хоча я не зовсім впевнений, яка мета цього, схоже, він використовується для зберігання / кешування вмісту, який зараз використовується.
Якщо вам цікаво побачити, що знаходиться всередині, ви можете придбати заблоковані файли, такі як swapfile.sys або pagefile.sys із запущеної системи Windows за допомогою FGET
(Forensic Get by HBGary).
Виконайте таку команду (як адміністратор):
FGET -витягнути% systemdrive% \ swapfile.sys OUTPUT_PATH
Після чого ви можете виконати аналіз струни за допомогою Strings
. У межах swapfile.sys в моїй системі, серед іншого, я знайшов:
моя електронна адреса, декілька електронних та електронних адрес, змінні середовища, частковий вміст веб-сторінок, які я відвідав, рядки міметипу, рядки агента користувача, XML-файли, URL-адреси, IP-адреси, імена користувачів, імена функцій бібліотеки, налаштування додатків, рядки шляху тощо.
Я також спробував вирізати файл, щоб шукати загальні формати зображень і знайшов кілька JPEG та PNG, що містять піктограми додатків, ресурси веб-сторінок, кілька зображень профілю, ресурсів зображень із програм Metro тощо.
Якщо вам
FGET
не
підходить , спробуйте скористатися
ifind
і
icat
з
The Sleuth Kit . Ви можете знайти вхідний номер MFT для
swapfile.sys, використовуючи
ifind
наступне:
ifind -n /swapfile.sys \\. \% systemdrive%
Коли у вас є номер inode, ви можете отримати файл, використовуючи icat
наступне:
icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH
Наприклад:
C: \> ifind -n /swapfile.sys \\. \% Systemdrive%
1988 рік
C: \> icat \\. \% Systemdrive% 1988>% systemdrive% \ swapfile.dmp
ПРИМІТКА: Вам потрібно запустити обидві команди з підвищеного командного рядка (тобто запустити cmd
як адміністратор)