Blog
Notizen zur Forensik von Windows pagefile.sys und zu diesem Tool.
- Registry-Hive-Fragmente aus pagefile.sys carven
20.5.2026
Wie man regf- und hbin-Blöcke in einem Windows-Pagefile identifiziert, was sich daraus rekonstruieren lässt und wie man die Ausgabe in RegRipper / hivexsh / Eric Zimmermans Registry Explorer einspeist.
Weiterlesen → - Malware-Befehlszeilen in pagefile.sys erkennen
20.5.2026
PowerShell Encoded Commands, certutil-Downloads, mshta-Payloads, rundll32-Missbrauch, regsvr32 Squiblydoo — die Befehlszeilenmuster, die in Windows pagefile.sys auftauchen, und wie man sie findet.
Weiterlesen → - pagefile.sys verschlüsseln: die Einstellung EncryptPagingFile und wogegen sie schützt
20.5.2026
Windows kann pagefile.sys mit einem boot-spezifischen, ephemeren Schlüssel verschlüsseln. Dieser Beitrag erklärt, wogegen das schützt, wogegen nicht, wie es mit BitLocker zusammenspielt und was es für die forensische Analyse bedeutet.
Weiterlesen → - Anmeldedaten in pagefile.sys finden
20.5.2026
Warum Credentials in Windows pagefile.sys landen, welche Muster zu suchen sind — Passwörter, Bearer-Tokens, JWTs, NTLM, Kerberos, Cloud-CLI-Tokens — und wie dieser Parser sie sichtbar macht.
Weiterlesen → - Wie man pagefile.sys sichert
20.5.2026
Praktische Acquisition-Methoden für Windows pagefile.sys — live, offline, aus Disk-Images und VM-Snapshots, mit den Fallstricken, die es zu vermeiden gilt.
Weiterlesen → - Grenzen der pagefile.sys-Analyse
20.5.2026
Was Sie aus einem Windows-Pagefile wiederherstellen können und was nicht — und warum Windows 10s Speicherkompression die Rechnung ändert.
Weiterlesen → - Wie pagefile.sys-Forensik tatsächlich funktioniert
20.5.2026
Signatur-Carving, String-Extraktion und Entropie-Analyse — die drei Techniken hinter jedem pagefile.sys-Analysetool.
Weiterlesen → - pagefile.sys vs. hiberfil.sys vs. swapfile.sys: welche Windows-Paging-Datei analysieren?
20.5.2026
Windows hat drei Paging-bezogene Dateien im Wurzelverzeichnis des Systemlaufwerks — pagefile.sys, hiberfil.sys, swapfile.sys. Jede enthält andere Daten und ist an unterschiedlichen Punkten einer Untersuchung relevant.
Weiterlesen → - Browser-Verlauf (URLs, Cookies, Autofill) aus pagefile.sys rekonstruieren
20.5.2026
Wie Chrome, Edge und Firefox Browsing-Daten in Windows pagefile.sys lecken — und wie man URLs, Cookies, Suchanfragen und Autofill-Werte aus einer gecarvten Seite extrahiert.
Weiterlesen → - Sollten Sie pagefile.sys löschen oder deaktivieren?
20.5.2026
Pagefile.sys zu deaktivieren spart Speicherplatz und kann ein Hardening-Schritt sein — kostet aber Performance und tötet Crash-Dumps. Hier eine forensische und operative Sicht darauf, wann (nicht) zu deaktivieren.
Weiterlesen → - Volatility + pagefile.sys: beides zusammen für vollständige Memory-Forensik
20.5.2026
Volatility kann pagefile.sys nicht allein parsen — gepaart mit einem RAM-Dump kann es jedoch den vollständigen virtuellen Adressraum inklusive ausgelagerter Seiten rekonstruieren. Hier der Workflow.
Weiterlesen → - Was ist pagefile.sys?
20.5.2026
Eine kurze Tour durch Windows' pagefile.sys — warum es existiert, was darin steht und warum forensische Analysten es lieben.
Weiterlesen →