pagefile.sys ist eine der forensisch wertvollsten Dateien auf einem
Windows-System — und eine der unhandlichsten, an die man herankommt.
Windows hält sie während der gesamten Laufzeit offen und exklusiv vom
Kernel gesperrt, sodass ein einfaches copy C:\pagefile.sys mit
„Der Prozess kann nicht auf die Datei zugreifen…" zurückkommt.
Es gibt vier praktikable Acquisition-Wege. Wählen Sie den, der zum Zustand der Maschine passt.
1. Laufendes System — Roh-Lesen über NTFS
Auf einer laufenden Maschine ist der Inhalt der Datei weiterhin lesbar, wenn Code am Dateisystem vorbei direkt das rohe NTFS-Volume liest. Eine Handvoll Werkzeuge tut genau das:
RawCopy.exe(jschicht/RawCopy) — kleines Windows-Tool, ohne Installation, legt eine Kopie ab, ohne die Quelle zu stören. Aus einer Eingabeaufforderung mit erhöhten Rechten starten:RawCopy.exe /FileNamePath:C:\pagefile.sys /OutputPath:E:\evidence- FTK Imager Lite — Add Evidence Item → Logical Drive → C: →
Rechtsklick auf
pagefile.sys→ Export Files. FTK nutzt intern Roh-I/O. - KAPE —
--target Pagefileplus--target Hiberfile,--target Swapfilefür eine einmalige Triage, die alle drei hasht und kopiert. X-Ways Forensics— gleiche Idee über „Add Logical / Physical Disk".
Schreiben Sie die Ausgabe nicht nach C: — verwenden Sie ein externes
Laufwerk oder eine Netzwerkfreigabe. Allein der Schreibvorgang erzeugt
neue ausgelagerte Inhalte und kann die Pagefile-Slots überschreiben, die
Sie eigentlich sichern wollen.
2. Offline-System — Disk schreibgeschützt mounten
Wenn Sie die Maschine herunterfahren können (und Ihr IR-Briefing es zulässt), booten Sie von einem forensischen Linux-USB-Stick (CAINE, Tsurugi, Paladin) oder hängen Sie die Disk an einen Write-Blocker, dann:
sudo mount -t ntfs-3g -o ro /dev/sdb2 /mnt/evidence
cp /mnt/evidence/pagefile.sys /external/evidence/
Außerhalb von Windows gibt es keinen Kernel-Lock — die Datei ist nur noch Bytes.
3. Aus einem Disk-Image
In den meisten Engagements liegt ohnehin ein vollständiges forensisches
Image (E01, dd, AFF4) statt direkter Hardware vor. So holen Sie
pagefile.sys daraus:
- FTK Imager: Add Evidence Item → Image File → … → Export Files.
- Autopsy / The Sleuth Kit: Image öffnen, zum Volume-Root navigieren, exportieren.
tsk_recover,icat(Sleuth-Kit-CLI):fls -p -o $OFFSET image.dd | grep pagefile.sys # Inode notieren, dann: icat -o $OFFSET image.dd $INODE > pagefile.sys
4. Aus einem VM-Snapshot
VMware-/Hyper-V-/VirtualBox-Snapshots enthalten die Gast-Disk. Mounten
Sie das Disk-Image (*.vmdk, *.vhdx, *.vdi) schreibgeschützt auf
Ihrem Analyse-Host und kopieren Sie. Bei Hyper-V-Server-Snapshots ist
die .avhdx eine Differencing-Disk — entweder zuerst auf die Basis-
.vhdx mergen oder die Eltern-+-Diff-Kette in PowerShell mounten:
Mount-VHD -Path .\guest.vhdx -ReadOnly
Vergessen Sie nicht die Begleiter
Wenn Sie schon pagefile.sys haben, nehmen Sie den Rest der Paging-Familie gleich mit, solange Sie Zugriff haben:
| Datei | Verwendung |
|---|---|
swapfile.sys | Working Sets von UWP-/Modern-Apps — anderer Inhaltsbereich |
hiberfil.sys | Voller RAM-Snapshot, falls die Maschine im Ruhezustand war |
memory.dmp | Kernel-Crash-Dump, falls %SystemRoot%\Memory.dmp existiert |
MEMORY.DMP / *.hdmp | Crash-Dumps, vollständig oder nur Kernel |
| RAM-Dump | Wenn eine Live-Aufnahme möglich ist (DumpIt, WinPMem, Magnet RAM) |
Ein gepaarter RAM-Dump ist das größte Einzel-Upgrade für die Pagefile-Analyse: er liefert Volatility die Page Table Entries (PTEs), um Pagefile-Slots zurück auf Prozesse abzubilden — siehe den Limitations-Beitrag dazu, warum das zählt.
Verifizieren, bevor Sie gehen
Nach der Acquisition:
- Hashen:
sha256sum pagefile.sys(oderGet-FileHash). Auf dem Analyse-Rechner erneut hashen, um die Übertragungsintegrität zu bestätigen. - Plausibilitätscheck der Größe: Eine frische Windows-Installation mit 16 GB RAM hat ein Pagefile von etwa 2,5 GB. Systeme mit „Größe automatisch verwalten" können deutlich über 16 GB wachsen. Eine 4-KB-Datei bedeutet, dass das Pagefile deaktiviert war.
- Chain of Custody protokollieren: wer es gezogen hat, wann, von welchem Host, auf welchen Speicher, mit welchem Werkzeug.
Häufige Fallstricke
- BitLocker: Eine verschlüsselte Systemdisk bedeutet, dass Sie den Recovery Key oder den entsperrten TPM-Zustand brauchen. Erfassen Sie das System nach Möglichkeit im entsperrten Zustand.
- Antivirus: Manche EDR-Produkte stellen RawCopy.exe / FTK bei Kontakt sofort in Quarantäne. Setzen Sie den Pfad Ihres Werkzeugs vorher auf die Allowlist.
- Fast Startup / Hybrid Sleep: Ein „heruntergefahrenes" Windows mit
Fast Startup hat in Wirklichkeit eventuell hibernated — in dem Fall
enthält
hiberfil.sysdas RAM der vorigen Sitzung, eine deutlich größere Beute als das Pagefile. - Auf dasselbe Volume schreiben: Nicht tun. Jeder Schreibvorgang ist ein potenzielles Überschreiben eines Pagefile-Slots.
Und dann?
Sobald Sie die Datei haben, ziehen Sie sie auf den Parser auf der Startseite — er analysiert die rohen Bytes im Browser via WebAssembly, streamt die Datei in 16-MB-Chunks und produziert eine Klassifikation pro Seite plus extrahierte Strings und IOCs, ohne irgendetwas hochzuladen.
Hintergrund zu dem, was der Analyzer eigentlich tut, finden Sie unter Wie pagefile.sys-Forensik tatsächlich funktioniert.