Zum Inhalt springen
Pagefile.sys Parser
← Zurück zum Blog

pagefile.sys vs. hiberfil.sys vs. swapfile.sys: welche Windows-Paging-Datei analysieren?

20.5.2026 · 4 Min. Lesezeit

Öffnet man die Wurzel eines Windows-Systemlaufwerks mit eingeblendeten versteckten und Systemdateien, finden sich bis zu drei Paging-bezogene Dateien: pagefile.sys, hiberfil.sys und swapfile.sys. Sie werden häufig verwechselt — alle drei sind „Dinge, die Windows für Speicher nutzt" — aber sie enthalten unterschiedliche Inhalte und haben jeweils ihren eigenen forensischen Wert.

DateiStandardgrößeInhaltWann geschrieben
pagefile.sys~1,5×–3× RAMAnonyme ausgelagerte Speicherseiten, rohe 4-KB-PagesLaufend, bei Speicherdruck
hiberfil.sys~RAM-GrößeVollständiger RAM-Snapshot, Xpress-komprimiertBeim Hibernate / Fast-Startup-Shutdown
swapfile.sys16 MB → 16 GBWorking Sets von UWP-/Modern-AppsWenn UWP-Apps suspendiert werden

pagefile.sys

Das ist die Datei, die die meisten Leute meinen, wenn sie von „der Page-Datei" sprechen. Wenn der Memory Manager / Speichermanager eine kalte anonyme Seite zur Verdrängung auswählt (eine Heap-Allokation, eine Stack-Seite, eine JIT-Region…), schreibt er sie nach pagefile.sys und gibt den RAM-Frame frei. Wird die Adresse erneut berührt, wird die Seite zurückgelesen.

  • Inhalt: rohe 4-KB-Speicherframes, keine Struktur, keine Reihenfolge.
  • Forensischer Wert: sehr hoch — alles, was im Speicher irgendeines Prozesses lebte, aber nicht in einer Datei überlebt hat, kann hier noch ausgelagert sein. PE-Fragmente, Registry-Hive-Blöcke, MFT-Einträge, Browser-SQLite-Chunks, Befehlszeilen, Passwörter.
  • Tool: dieser Parser übernimmt Carving + String- und Artefaktextraktion. page_brute und bulk_extractor sind die klassischen Python-Optionen.
  • Haken: Seiten sind nicht sequenziell und werden (ab Windows 10) häufig vom CompressionStoreManager mit Xpress-Huffman komprimiert, bevor sie geschrieben werden. Siehe Limitations.

hiberfil.sys

Wird angelegt, wenn das System in den Ruhezustand geht (oder mit aktiviertem Fast Startup heruntergefahren wird, was unter der Haube ein „Hybrid Sleep"-Hibernate ist). hiberfil.sys ist ein vollständiger Snapshot des physischen RAMs zum Zeitpunkt des Hibernate — komprimiert mit Microsofts Xpress-Algorithmus, mit einem PO_MEMORY_IMAGE-Header versehen (am Anfang steht die Signatur HIBR / WAKE).

  • Inhalt: praktisch der gesamte Inhalt des RAMs, samt PFN-Tabellen (Page Frame Number), Prozessstrukturen, Kernel-Pools — also dasselbe, was ein Live-RAM-Dump liefern würde.
  • Forensischer Wert: enorm, wenn vorhanden. Mit Volatility können Sie Prozesse enumerieren, Netzwerkverbindungen dekodieren, die Registry im Speicher durchlaufen, LSA-Secrets extrahieren, LSASS dumpen — vollständige Memory-Forensik.
  • Tool: hibr2bin (aus dem Volatility-Ökosystem) oder volatility3 -f hiberfil.sys — Volatility konvertiert den komprimierten Snapshot nativ in ein rohes Memory-Image. Behandeln Sie hiberfil.sys nicht wie einen Pagefile-artigen Rohdump — sein Format ist dokumentiert und Volatility spricht es nativ.
  • Haken: existiert nur, wenn die Maschine im Ruhezustand war oder Fast Startup verwendet hat. Eine schlicht neu gestartete Maschine hat entweder kein hiberfil.sys oder ein leeres.

swapfile.sys

Eingeführt mit Windows 8 zusammen mit UWP-/Modern-Apps. Anders als pagefile.sys, das einzelne 4-KB-Frames auslagern kann, suspendiert swapfile.sys komplette Working Sets von Apps — wenn Sie von einer UWP-App weg wechseln, wird deren Speicherabbild im Ganzen herausgeschrieben.

  • Inhalt: Working Sets suspendierter UWP-Apps — Edge (UWP-Version), Mail, Fotos, Kalender, Store, Cortana, Karten, moderne Office-Apps.
  • Forensischer Wert: Nischenwert, aber real. UWP-Browser und Mail-Clients können hier Fragmente hinterlassen, die nicht in pagefile.sys stehen.
  • Tool: derselbe Carving-Ansatz wie beim Pagefile — Magic-Byte- Signaturen, Strings, Regex-Sweeps. Dieser Parser lässt sich auch auf swapfile.sys ansetzen, ist aber auf den größeren Pagefile-Fall optimiert.
  • Haken: relativ klein (typischerweise einige Hundert MB bis ~16 GB). Läuft auf der Maschine keine UWP-App, ist die Datei meist leer.

Welche während eines Vorfalls greifen

Wenn Sie alle drei nehmen können, nehmen Sie alle drei — sie sind billig zu kopieren und liefern jeweils andere Spuren. Wenn nur einige möglich sind:

  1. hiberfil.sys zuerst, falls vorhanden mit nicht-trivialer Größe. Ein vollständiger RAM-Snapshot ist mächtiger als jedes Pagefile.
  2. pagefile.sys für die Masse des ausgelagerten Speichers.
  3. swapfile.sys, wenn Sie UWP-spezifische Artefakte jagen (Modern Edge, Mail, Fotos, etc.).

In der Praxis greift KAPE --target Pagefile,Hiberfile,Swapfile alle drei plus einige verwandte Crash-Dumps in einem Durchgang.

Fast Startup erkennen

Ein scheinbar sauber heruntergefahrenes Windows hat unter Fast Startup möglicherweise hibernated. Indikatoren:

  • hiberfil.sys existiert mit Größe ~RAM.
  • Registry: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled = 1.
  • Das Ereignisprotokoll zeigt eine 1 für „Hybrid Sleep" statt eines sauberen Shutdowns.

Wenn Sie Fast-Startup-Anzeichen sehen, sichern Sie hiberfil.sys, bevor Sie irgendetwas anderes tun — ein nachfolgender Boot überschreibt es mit der nächsten Sitzung.

Nach der Acquisition

Siehe Wie man pagefile.sys sichert für die eigentliche Capture-Mechanik und Wie pagefile.sys-Forensik tatsächlich funktioniert dazu, was der Analyzer tut, sobald Sie die Datei haben.