Saltar al contenido
Pagefile.sys Parser
← Volver al blog

pagefile.sys vs hiberfil.sys vs swapfile.sys: qué archivo de paginación de Windows analizar

20/5/2026 · 5 min de lectura

Abre la raíz de un disco de sistema Windows con los archivos ocultos y de sistema visibles y verás hasta tres archivos relacionados con la paginación: pagefile.sys, hiberfil.sys y swapfile.sys. A menudo se confunden — los tres son "cosas que Windows usa para la memoria" — pero contienen datos distintos y cada uno tiene su propio valor forense.

ArchivoTamaño por defectoQué contieneCuándo se escribe
pagefile.sys~1,5×–3× la RAMMemoria anónima paginada, páginas crudas de 4 KBDe forma continua, bajo presión de memoria
hiberfil.sys~tamaño de la RAMSnapshot completo de RAM, comprimido con XpressAl hibernar / apagar con Fast Startup
swapfile.sys16 MB → 16 GBWorking sets de apps UWP / ModernCuando las apps UWP se suspenden

pagefile.sys

Este es el archivo al que la mayoría de la gente se refiere por "el page file". Cuando el Memory Manager / gestor de memoria elige una página anónima fría que desalojar (una asignación de heap, una página de pila, una región JIT…), la escribe en pagefile.sys y libera el frame de RAM. Cuando la dirección se vuelve a tocar, la página se relee.

  • Contenido: frames crudos de memoria de 4 KB, sin estructura, sin orden.
  • Valor forense: muy alto — cualquier cosa que viviera en la memoria de algún proceso pero no sobreviviera en un archivo puede seguir paginada aquí. Fragmentos PE, bloques de colmenas de registro, registros MFT, trozos de SQLite de navegadores, líneas de comandos, contraseñas.
  • Herramienta: este parser maneja carving + extracción de cadenas + de artefactos. page_brute y bulk_extractor son las opciones clásicas en Python.
  • Pega: las páginas no son secuenciales y (en Windows 10+) suelen estar comprimidas con Xpress-Huffman por el CompressionStoreManager antes de escribirse. Ver limitaciones.

hiberfil.sys

Se crea cuando el sistema hiberna (o se apaga con Fast Startup activado, que por debajo es una hibernación "híbrida"). hiberfil.sys es un snapshot completo de la RAM física en el momento de la hibernación — comprimido con el algoritmo Xpress de Microsoft, precedido por una cabecera PO_MEMORY_IMAGE (busca la firma HIBR / WAKE al principio).

  • Contenido: prácticamente la totalidad del contenido de la RAM, con las tablas PFN (Page Frame Number), estructuras de proceso, pools del kernel — es decir, lo mismo que te daría un dump de RAM en caliente.
  • Valor forense: enorme cuando está. Con Volatility puedes enumerar procesos, decodificar conexiones de red, recorrer el registro en memoria, extraer secretos de LSA, volcar LSASS — forense de memoria completo.
  • Herramienta: hibr2bin (del ecosistema Volatility) o volatility3 -f hiberfil.sys — Volatility convierte de forma nativa el snapshot comprimido a una imagen de memoria en bruto. No trates hiberfil.sys como un dump crudo al estilo del pagefile — su estructura está documentada y Volatility la habla de forma nativa.
  • Pega: solo existe si la máquina hibernó o usó Fast Startup. Una máquina simplemente reiniciada o no tiene hiberfil.sys o lo tiene vacío.

swapfile.sys

Introducido con Windows 8 junto a las apps UWP / Modern. A diferencia de pagefile.sys, que puede paginar frames individuales de 4 KB, swapfile.sys suspende working sets completos — cuando cambias de una app UWP a otra, su imagen de memoria se escribe entera.

  • Contenido: working sets de apps UWP suspendidas — Edge (versión UWP), Mail, Fotos, Calendario, Store, Cortana, Mapas, apps modernas de Office.
  • Valor forense: nicho pero real. Los navegadores y clientes de correo UWP pueden dejar aquí fragmentos que no están en pagefile.sys.
  • Herramienta: mismo enfoque de carving que el pagefile — firmas de bytes mágicos, cadenas, barridos regex. Este parser también puede apuntarse a swapfile.sys, aunque está afinado para el caso más grande del pagefile.
  • Pega: relativamente pequeño (típicamente unos pocos cientos de MB hasta ~16 GB). Si la máquina no ejecuta apps UWP, está prácticamente vacío.

Cuál capturar durante un incidente

Si puedes llevarte los tres, llévate los tres — son baratos de copiar y cada uno aporta evidencia distinta. Si solo puedes llevarte algunos:

  1. hiberfil.sys primero si existe con un tamaño no trivial. Un snapshot completo de RAM es más potente que cualquier pagefile.
  2. pagefile.sys para el grueso de la memoria paginada.
  3. swapfile.sys si estás detrás de artefactos específicos de UWP (Edge moderno, Mail, Fotos, etc.).

En la práctica, KAPE --target Pagefile,Hiberfile,Swapfile captura los tres más unos cuantos crash dumps relacionados en una sola pasada.

Detectar Fast Startup

Un Windows que se "apagó" limpiamente puede haber hibernado en realidad con Fast Startup. Indicios:

  • hiberfil.sys existe con un tamaño aproximado al de la RAM.
  • Registro: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled = 1.
  • El Event Log muestra un 1 para "Hybrid Sleep" en vez de un apagado limpio.

Si ves señales de Fast Startup, captura hiberfil.sys antes que ninguna otra cosa — un arranque posterior lo sobrescribirá con la siguiente sesión.

Después de la adquisición

Mira cómo adquirir pagefile.sys para la mecánica de la captura, y cómo funciona realmente el forense de pagefile.sys para entender qué hace el analizador una vez tienes el archivo.