Analizador Pagefile.sys de Windows
Análisis forense del pagefile.sys de Windows — carving de archivos, extracción de cadenas e indicadores de compromiso. Procesamiento en streaming: archivos de varios GB permanecen en tu dispositivo.
🔒 Los archivos se procesan completamente en tu navegador con WebAssembly. Nada se sube a Internet.
Suelta pagefile.sys aquí, o haz clic para examinar
Tu archivo permanece en este dispositivo. Se admiten archivos grandes (4–16 GB) mediante streaming.
Qué extrae este analizador de pagefile.sys de Windows
Tres capas de análisis operan mientras el archivo se transmite — carving por firma, extracción de cadenas y barridos regex de artefactos.
Carving por firma, página a página
Cada página de 4 KB se compara con PE (MZ + PE\0\0), colmena de registro (regf, hbin), registro MFT (FILE/BAAD), SQLite, EVTX (ElfFile/ElfChnk), Prefetch (SCCA), LNK, PNG/JPEG/PDF/ZIP, XML/JSON y páginas Xpress-Huffman.
Cadenas ASCII y UTF-16LE
Extracción con longitud mínima configurable en todo el archivo, con continuación a través de los límites de fragmentos de 16 MB. Cada cadena lleva su desplazamiento absoluto.
Barridos regex de artefactos
URLs, correos, direcciones IPv4 e IPv6, rutas de Windows (C:\…), rutas UNC, claves de registro (HKLM, HKCU…), GUIDs, indicadores de líneas de comando (cmd.exe, powershell, mshta, rundll32, certutil…) y heurísticas de credenciales (password=, tokens Bearer, formas JWT).
Repliegue estadístico
Las páginas sin firma se clasifican por entropía de Shannon, proporción de nulos y de imprimibles, ofreciendo cobertura completa — incluidas zonas de alta entropía probablemente cifradas.
Cómo analizar un pagefile.sys de Windows
- 1
Adquirir pagefile.sys
Toma una copia forense de pagefile.sys desde un sistema apagado, una imagen de disco o el volumen NTFS en bruto. Windows mantiene el archivo bloqueado mientras se ejecuta.
- 2
Abrir esta página en el navegador
No requiere instalación: el analizador es un programa Rust compilado a WebAssembly que se ejecuta totalmente en el cliente.
- 3
Soltar el archivo o examinarlo
Se admite cualquier tamaño. El navegador lee el archivo en fragmentos de 16 MB; nunca está completo en memoria.
- 4
Revisar las cuatro pestañas de resultados
Resumen muestra el histograma por tipo de página. Mapa de páginas lista cada página clasificada. Cadenas es una lista filtrable ASCII/UTF-16LE. Artefactos agrupa URLs, correos, IPs, rutas, claves de registro, GUIDs, líneas de comando e indicios de credenciales.
- 5
Exportar hallazgos
Descarga el informe completo en JSON, las cadenas en TXT o los artefactos en CSV para seguir trabajándolos en tu kit forense.
Aprende más sobre el forense de pagefile.sys
Lecturas de fondo sobre el formato, las técnicas que usa esta herramienta y qué se puede recuperar.
- Carving de fragmentos de colmenas de registro desde pagefile.sysCómo identificar bloques regf y hbin en un pagefile de Windows, qué puedes recuperar de ellos y cómo encadenar la salida con RegRipper / hivexsh / Registry Explorer de Eric Zimmerman.Leer el artículo →
- Detectar líneas de comando de malware en pagefile.sysComandos codificados de PowerShell, descargas con certutil, payloads de mshta, abuso de rundll32, squiblydoo con regsvr32 — los patrones de línea de comandos que aparecen en pagefile.sys de Windows y cómo encontrarlos.Leer el artículo →
- Cifrando pagefile.sys: el ajuste EncryptPagingFile y contra qué protegeWindows puede cifrar pagefile.sys con una clave efímera por arranque. Este post explica contra qué protege, contra qué no, cómo interactúa con BitLocker y qué implica para el análisis forense.Leer el artículo →
- Encontrar credenciales en pagefile.sysPor qué las credenciales acaban filtrándose al pagefile.sys de Windows, qué formas buscar — contraseñas, bearer tokens, JWTs, NTLM, Kerberos, tokens de CLI de la nube — y cómo las saca a la luz este parser.Leer el artículo →
- Cómo adquirir pagefile.sysMétodos prácticos de adquisición del pagefile.sys de Windows — en caliente, sin conexión, desde imágenes de disco y snapshots de VM, con los errores a evitar.Leer el artículo →
- Limitaciones del análisis de pagefile.sysQué se puede y qué no se puede recuperar de un pagefile de Windows — y por qué la compresión de memoria de Windows 10 cambia las cuentas.Leer el artículo →
- Cómo funciona realmente el forense de pagefile.sysCarving por firma, extracción de cadenas y análisis de entropía — las tres técnicas detrás de toda herramienta de análisis de pagefile.sys.Leer el artículo →
- pagefile.sys vs hiberfil.sys vs swapfile.sys: qué archivo de paginación de Windows analizarWindows tiene tres archivos relacionados con la paginación en la raíz del disco de sistema — pagefile.sys, hiberfil.sys y swapfile.sys. Cada uno contiene datos distintos e importa en distintos momentos de una investigación.Leer el artículo →
- Recuperar historial de navegador (URLs, cookies, autofill) desde pagefile.sysCómo Chrome, Edge y Firefox filtran datos de navegación al pagefile.sys de Windows — y cómo extraer URLs, cookies, búsquedas y valores de autocompletado desde una página carveada.Leer el artículo →
- ¿Deberías borrar o desactivar pagefile.sys?Desactivar pagefile.sys libera espacio en disco y puede ser un paso de bastionado de seguridad — pero también reduce el rendimiento y rompe los crash dumps. Aquí va una visión forense y operativa de cuándo (no) hacerlo.Leer el artículo →
- Volatility + pagefile.sys: emparejándolos para forense de memoria completoVolatility no puede parsear pagefile.sys por sí solo — pero emparejado con un dump de RAM, puede reconstruir el espacio de direcciones virtuales completo, incluyendo páginas paginadas. Aquí va el workflow.Leer el artículo →
- ¿Qué es pagefile.sys?Un recorrido rápido por el pagefile.sys de Windows — por qué existe, qué contiene y por qué los analistas forenses lo aprecian.Leer el artículo →
Preguntas frecuentes
¿Qué es pagefile.sys?
pagefile.sys es el archivo que Windows usa como extensión en disco de la RAM física. Cuando hay poca memoria, el Memory Manager escribe páginas frías en este archivo.
¿Se sube mi archivo a algún servidor?
No. El analizador corre en tu navegador vía WebAssembly. Los bytes no salen del dispositivo: no hay procesamiento en servidor ni telemetría.
¿Qué puede extraer este parser de un pagefile?
Clasificación de páginas por bytes mágicos (imágenes PE, colmenas de registro, registros MFT, bases SQLite, chunks EVTX, Prefetch, LNK, PNG/JPEG/PDF/ZIP, páginas comprimidas Xpress-Huffman), cadenas ASCII y UTF-16LE con desplazamientos absolutos, y artefactos regex: URLs, correos, IPv4/IPv6, rutas de Windows, rutas UNC, claves de registro, GUIDs, indicadores de líneas de comando y heurísticas de credenciales.
¿Qué tamaño de archivo se admite?
Se admiten pagefiles de varios gigabytes (4 GB, 8 GB, 16 GB y más). El Web Worker lee en fragmentos de 16 MB vía File.slice() para que el navegador nunca tenga todo el archivo en memoria.
¿Funciona con la compresión de memoria de Windows 10 / 11?
Las páginas comprimidas por CompressionStoreManager (Xpress-Huffman, CompressionFormat 4) se detectan y marcan. La descompresión completa queda como trabajo futuro.
¿Se puede asociar una página a un proceso concreto?
No solo desde el pagefile. El mapeo página → (proceso, dirección virtual) vive en las page-table entries (PTE) en RAM — se necesita un dump de memoria (Volatility / MemProcFS). El análisis autónomo del pagefile aporta contenido, no contexto.
¿Diferencia entre pagefile.sys, swapfile.sys e hiberfil.sys?
pagefile.sys es el respaldo por defecto para memoria anónima paginada. swapfile.sys guarda los working sets de apps UWP. hiberfil.sys es una instantánea completa de la RAM al hibernar. Cada uno aporta artefactos distintos.