Es gibt kein dokumentiertes Binärformat für pagefile.sys. Jedes Tool, das
es analysiert — page_brute, bulk_extractor, X-Ways, Magnet Axiom, dieses —
greift auf dieselbe Familie von Techniken zurück.
1. Signatur-Carving pro Seite
Die Datei wird in 4-KB-Seiten zerlegt und jede Seite gegen einen Signaturkatalog abgeglichen:
| Signatur | Was sie aussagt |
|---|---|
MZ … PE\0\0 | Eine ausführbare Image wurde ausgelagert |
regf | Registry-Hive-Basisblock |
hbin | Registry-Hive-Bin — ein 4-KB-Stück |
FILE / BAAD | NTFS-MFT-Eintrag |
SQLite format 3 | SQLite-DB-Header |
<?xml | XML — Log-Fragmente, Manifeste, Configs |
ElfFile / ElfChnk | EVTX-Datei / -Chunk |
SCCA | Prefetch-Datei |
%PDF | |
PK\x03\x04 | ZIP / DOCX / XLSX |
Ein Treffer ist eine starke Spur — der vollständige Artefakt liegt typischerweise auf nicht benachbarten Seiten.
2. String-Extraktion
Der Hauptwert eines Pagefiles steckt in Strings:
- ASCII: zusammenhängende druckbare Bytes (0x20–0x7E) der Länge ≥ 6.
- UTF-16LE: zusammenhängende
(druckbar, 0x00)-Paare. Da Windows intern Unicode-first ist, lebt der Großteil des nützlichen Texts hier.
Jeder String erhält seinen absoluten Datei-Offset für die Korrelation zur Ursprungsseite.
3. Regex-Sweeps über Strings
Ein fester Regex-Katalog läuft über die Strings: URLs, E-Mails, IPv4,
IPv6, Windows- und UNC-Pfade, Registry-Schlüssel, GUIDs, Kommandozeilen
(cmd.exe, powershell, mshta, rundll32, certutil…) und
Credential-Indikatoren (password=, Authorization: Bearer …,
JWT-Formen).
4. Statistischer Fallback
Für Seiten ohne Signatur helfen Statistiken: Entropie > 7,5 deutet auf verschlüsselten oder komprimierten Inhalt (oft Xpress-Huffman unter Windows 10+); hoher Null-Anteil → ungenutzter Slot; hoher Druckbarkeitsanteil → Text, der keine Signatur ausgelöst hat.
Was Sie nicht tun können
Standalone-Pagefile-Analyse kann nicht sagen, welcher Prozess eine Seite besaß oder unter welcher virtuellen Adresse sie lag. Das verlangt einen RAM-Dump und das Parsen der Page Table Entries (genau dafür gibt es Volatility und MemProcFS). Das Pagefile allein liefert Inhalt, keinen Kontext.