Windows Pagefile.sys Parser
Forensische Analyse von Windows pagefile.sys — Datei-Carving, String-Extraktion und IOCs. Streamt Seite für Seite, sodass Dateien mit mehreren GB auf dem Gerät bleiben.
🔒 Dateien werden vollständig im Browser via WebAssembly verarbeitet. Nichts wird hochgeladen.
pagefile.sys hierher ziehen oder klicken zum Auswählen
Ihre Datei bleibt auf diesem Gerät. Große Dateien (4–16 GB) werden per Streaming unterstützt.
Was dieser Windows-pagefile.sys-Parser extrahiert
Drei Analyseebenen laufen während des Streamings — Signatur-Carving, String-Extraktion und Artefakt-Regex-Sweeps.
Signatur-Carving pro Seite
Jede 4-KB-Seite wird gegen PE (MZ + PE\0\0), Registry-Hive (regf, hbin), MFT-Eintrag (FILE/BAAD), SQLite, EVTX (ElfFile/ElfChnk), Prefetch (SCCA), LNK, PNG/JPEG/PDF/ZIP, XML/JSON und Xpress-Huffman-Seiten geprüft.
ASCII- und UTF-16LE-Strings
Extraktion mit konfigurierbarer Mindestlänge über die gesamte Datei, mit Fortsetzung über 16-MB-Chunk-Grenzen hinweg. Jeder String trägt seinen absoluten Datei-Offset.
Artefakt-Regex-Sweeps
URLs, E-Mails, IPv4- und IPv6-Adressen, Windows-Pfade (C:\…), UNC-Pfade, Registry-Schlüssel (HKLM, HKCU…), GUIDs, Kommandozeilen-Indikatoren (cmd.exe, powershell, mshta, rundll32, certutil…) und Credential-Heuristiken (password=, Bearer-Tokens, JWT-Formen).
Statistischer Fallback
Seiten ohne Signatur werden nach Shannon-Entropie, Null-Anteil und Druckbarkeitsanteil eingestuft, sodass die Abdeckung lückenlos ist — inklusive hoch-entropischer, vermutlich verschlüsselter Bereiche.
Wie man eine Windows-pagefile.sys analysiert
- 1
pagefile.sys beschaffen
Erstellen Sie eine forensische Kopie von pagefile.sys aus einem heruntergefahrenen System, einem Disk-Image oder dem rohen NTFS-Volume. Windows hält die Datei während des Betriebs gesperrt.
- 2
Diese Seite im Browser öffnen
Keine Installation nötig — der Analyzer ist ein in WebAssembly kompiliertes Rust-Programm, das vollständig clientseitig läuft.
- 3
Datei per Drag & Drop oder Auswahl öffnen
Beliebige Dateigrößen werden unterstützt. Der Browser liest die Datei in 16-MB-Chunks; sie liegt nie komplett im Speicher.
- 4
Die vier Ergebnis-Tabs prüfen
Übersicht zeigt das Seitentyp-Histogramm. Seiten-Karte listet jede klassifizierte Seite. Strings ist eine filterbare ASCII/UTF-16LE-Liste. Artefakte gruppiert URLs, E-Mails, IPs, Pfade, Registry-Schlüssel, GUIDs, Kommandozeilen und Credential-Indikatoren.
- 5
Ergebnisse exportieren
Laden Sie den vollständigen JSON-Bericht, Strings als TXT oder Artefakte als CSV für die weitere Bearbeitung in Ihrem Forensik-Toolkit herunter.
Mehr zur pagefile.sys-Forensik
Hintergrundlektüre zum Dateiformat, den hier genutzten Techniken und dem, was wiederherstellbar ist.
- Registry-Hive-Fragmente aus pagefile.sys carvenWie man regf- und hbin-Blöcke in einem Windows-Pagefile identifiziert, was sich daraus rekonstruieren lässt und wie man die Ausgabe in RegRipper / hivexsh / Eric Zimmermans Registry Explorer einspeist.Artikel lesen →
- Malware-Befehlszeilen in pagefile.sys erkennenPowerShell Encoded Commands, certutil-Downloads, mshta-Payloads, rundll32-Missbrauch, regsvr32 Squiblydoo — die Befehlszeilenmuster, die in Windows pagefile.sys auftauchen, und wie man sie findet.Artikel lesen →
- pagefile.sys verschlüsseln: die Einstellung EncryptPagingFile und wogegen sie schütztWindows kann pagefile.sys mit einem boot-spezifischen, ephemeren Schlüssel verschlüsseln. Dieser Beitrag erklärt, wogegen das schützt, wogegen nicht, wie es mit BitLocker zusammenspielt und was es für die forensische Analyse bedeutet.Artikel lesen →
- Anmeldedaten in pagefile.sys findenWarum Credentials in Windows pagefile.sys landen, welche Muster zu suchen sind — Passwörter, Bearer-Tokens, JWTs, NTLM, Kerberos, Cloud-CLI-Tokens — und wie dieser Parser sie sichtbar macht.Artikel lesen →
- Wie man pagefile.sys sichertPraktische Acquisition-Methoden für Windows pagefile.sys — live, offline, aus Disk-Images und VM-Snapshots, mit den Fallstricken, die es zu vermeiden gilt.Artikel lesen →
- Grenzen der pagefile.sys-AnalyseWas Sie aus einem Windows-Pagefile wiederherstellen können und was nicht — und warum Windows 10s Speicherkompression die Rechnung ändert.Artikel lesen →
- Wie pagefile.sys-Forensik tatsächlich funktioniertSignatur-Carving, String-Extraktion und Entropie-Analyse — die drei Techniken hinter jedem pagefile.sys-Analysetool.Artikel lesen →
- pagefile.sys vs. hiberfil.sys vs. swapfile.sys: welche Windows-Paging-Datei analysieren?Windows hat drei Paging-bezogene Dateien im Wurzelverzeichnis des Systemlaufwerks — pagefile.sys, hiberfil.sys, swapfile.sys. Jede enthält andere Daten und ist an unterschiedlichen Punkten einer Untersuchung relevant.Artikel lesen →
- Browser-Verlauf (URLs, Cookies, Autofill) aus pagefile.sys rekonstruierenWie Chrome, Edge und Firefox Browsing-Daten in Windows pagefile.sys lecken — und wie man URLs, Cookies, Suchanfragen und Autofill-Werte aus einer gecarvten Seite extrahiert.Artikel lesen →
- Sollten Sie pagefile.sys löschen oder deaktivieren?Pagefile.sys zu deaktivieren spart Speicherplatz und kann ein Hardening-Schritt sein — kostet aber Performance und tötet Crash-Dumps. Hier eine forensische und operative Sicht darauf, wann (nicht) zu deaktivieren.Artikel lesen →
- Volatility + pagefile.sys: beides zusammen für vollständige Memory-ForensikVolatility kann pagefile.sys nicht allein parsen — gepaart mit einem RAM-Dump kann es jedoch den vollständigen virtuellen Adressraum inklusive ausgelagerter Seiten rekonstruieren. Hier der Workflow.Artikel lesen →
- Was ist pagefile.sys?Eine kurze Tour durch Windows' pagefile.sys — warum es existiert, was darin steht und warum forensische Analysten es lieben.Artikel lesen →
Häufige Fragen
Was ist pagefile.sys?
pagefile.sys ist die Datei, die Windows als Festplatten-Erweiterung des physischen RAM nutzt. Wird Speicher knapp, schreibt der Memory Manager kalte Seiten in diese Datei.
Wird meine Datei hochgeladen?
Nein. Der Analyzer läuft im Browser via WebAssembly. Die Bytes verlassen das Gerät nie — keine Server-Verarbeitung, keine Telemetrie.
Was kann dieser Parser aus einem Pagefile extrahieren?
Seitenklassifikation per Magic Bytes (PE-Images, Registry-Hive-Blöcke, MFT-Einträge, SQLite-Datenbanken, EVTX-Chunks, Prefetch, LNK, PNG/JPEG/PDF/ZIP, Xpress-Huffman-komprimierte Seiten), ASCII- und UTF-16LE-Strings mit absoluten Offsets, sowie Regex-Artefakte: URLs, E-Mails, IPv4/IPv6, Windows-Pfade, UNC-Pfade, Registry-Schlüssel, GUIDs, Kommandozeilen, Credential-Heuristiken.
Welche Dateigrößen werden unterstützt?
Pagefiles im Multi-Gigabyte-Bereich (4 GB, 8 GB, 16 GB und mehr) werden unterstützt. Der Web Worker liest in 16-MB-Chunks via File.slice(), sodass der Browser nie die gesamte Datei im Speicher hält.
Funktioniert es mit Windows-10/11-Speicherkompression?
Seiten, die der CompressionStoreManager komprimiert (Xpress-Huffman, CompressionFormat 4), werden erkannt und markiert. Volle Dekompression folgt später.
Kann ich eine Seite einem Prozess zuordnen?
Nicht aus dem Pagefile allein. Die Zuordnung Seite → (Prozess, virtuelle Adresse) lebt in Page Table Entries im RAM — dazu braucht es einen RAM-Dump (Volatility / MemProcFS). Standalone-Analyse liefert Inhalt, keinen Kontext.
Unterschied zwischen pagefile.sys, swapfile.sys und hiberfil.sys?
pagefile.sys ist der Standard-Backing-Store für ausgelagerten anonymen Speicher. swapfile.sys hält Working Sets von UWP-Apps. hiberfil.sys ist ein vollständiger RAM-Snapshot beim Hibernate. Jede Datei liefert andere Artefakte.