pagefile.sys es uno de los archivos forensemente más valiosos de un
sistema Windows — y uno de los más incómodos de obtener. Windows lo mantiene
abierto y bloqueado en exclusiva por el kernel durante todo el arranque,
así que un simple copy C:\pagefile.sys devuelve "El proceso no puede
acceder al archivo…".
Existen cuatro vías prácticas de adquisición. Escoge la que se ajuste al estado de la máquina.
1. Sistema en ejecución — lectura NTFS en bruto
En una máquina viva, el contenido del archivo sigue siendo legible por código que esquiva el sistema de archivos y lee el volumen NTFS en bruto directamente. Unas pocas herramientas lo hacen:
RawCopy.exe(jschicht/RawCopy) — pequeña utilidad para Windows, sin instalación, deja una copia sin perturbar la fuente. Se ejecuta desde un símbolo del sistema elevado:RawCopy.exe /FileNamePath:C:\pagefile.sys /OutputPath:E:\evidence- FTK Imager Lite — Add Evidence Item → Logical Drive → C: → clic
derecho sobre
pagefile.sys→ Export Files. FTK usa I/O en bruto internamente. - KAPE —
--target Pagefilemás--target Hiberfile,--target Swapfilepara un triage de un solo paso que hashea y copia los tres. X-Ways Forensics— misma idea vía "Add Logical / Physical Disk".
No escribas la salida en C: — elige un disco externo o un recurso de
red. El propio acto de escribir crea nuevo contenido paginado y puede
sobrescribir los slots del pagefile que intentas capturar.
2. Sistema apagado — montar el disco como solo lectura
Si puedes apagar la máquina (y tu plan de IR lo permite), arranca desde un USB forense de Linux (CAINE, Tsurugi, Paladin) o conecta el disco a un bloqueador de escritura, y luego:
sudo mount -t ntfs-3g -o ro /dev/sdb2 /mnt/evidence
cp /mnt/evidence/pagefile.sys /external/evidence/
Fuera de Windows no hay bloqueo del kernel — el archivo son solo bytes.
3. Desde una imagen de disco
La mayoría de los casos implican una imagen forense completa (E01, dd,
AFF4) en vez del hardware directamente. Para extraer pagefile.sys de
ella:
- FTK Imager: Add Evidence Item → Image File → … → Export Files.
- Autopsy / The Sleuth Kit: abre la imagen, navega a la raíz del volumen, exporta.
tsk_recover,icat(CLI de Sleuth Kit):fls -p -o $OFFSET image.dd | grep pagefile.sys # toma el inode, luego: icat -o $OFFSET image.dd $INODE > pagefile.sys
4. Desde un snapshot de VM
Los snapshots de VMware/Hyper-V/VirtualBox incluyen el disco del invitado.
Monta la imagen de disco (*.vmdk, *.vhdx, *.vdi) en modo solo lectura
en tu host de análisis y cópialo. Para los snapshots de Hyper-V Server, el
.avhdx es un disco diferencial — fusiónalo primero sobre el .vhdx
base, o monta la cadena padre + diff en PowerShell:
Mount-VHD -Path .\guest.vhdx -ReadOnly
No olvides los archivos compañeros
Si tienes pagefile.sys, aprovecha y captura el resto de la familia de paginación mientras tengas acceso:
| Archivo | Uso |
|---|---|
swapfile.sys | Working sets de apps UWP / Modern — contenido distinto |
hiberfil.sys | Snapshot completo de RAM si la máquina estaba hibernada |
memory.dmp | Volcado de crash del kernel si %SystemRoot%\Memory.dmp existe |
MEMORY.DMP / *.hdmp | Crash dumps, completos o solo de kernel |
| Dump de RAM | Si puedes hacer captura en caliente (DumpIt, WinPMem, Magnet RAM) |
Un dump de RAM emparejado es la mejor mejora posible al análisis de pagefile: le da a Volatility las page-table entries para mapear los slots del pagefile a procesos — mira el post de limitaciones para entender por qué importa.
Verifica antes de marcharte
Tras la adquisición:
- Hashea:
sha256sum pagefile.sys(oGet-FileHash). Re-hashea en la máquina de análisis para confirmar la integridad de la transferencia. - Comprobación de tamaño razonable: una instalación recién hecha de Windows con 16 GB de RAM tiene un pagefile de unos 2,5 GB. Los sistemas con System managed pueden hacerlo crecer muy por encima de 16 GB. Un archivo de 4 KB significa que el sistema tenía el pagefile desactivado.
- Registra la cadena de custodia: quién lo extrajo, cuándo, desde qué host, a qué almacenamiento, con qué herramienta.
Errores comunes
- BitLocker: un disco de sistema cifrado implica que necesitas la clave de recuperación o el estado del TPM desbloqueado. Captura el sistema en su estado desbloqueado siempre que sea posible.
- Antivirus: algunos productos EDR ponen RawCopy.exe / FTK en cuarentena al contacto. Añade la ruta de tu herramienta a la lista blanca antes de empezar.
- Fast Startup / suspensión híbrida: un Windows que se "apagó" con
Fast Startup puede haber hibernado realmente, en cuyo caso
hiberfil.syscontiene la RAM de la sesión anterior — un premio mucho mayor que el pagefile. - Escribir en el mismo volumen: no lo hagas. Cada escritura es una posible sobrescritura de un slot del pagefile.
¿Y luego qué?
Una vez tengas el archivo, súbelo al parser de la página de inicio — analiza los bytes en bruto en tu navegador vía WebAssembly, lee el archivo por trozos de 16 MB y produce una clasificación por página + cadenas extraídas + IOCs sin subir nada a ninguna parte.
Para entender el fondo de qué hace el analizador, lee cómo funciona realmente el forense de pagefile.sys.