pagefile.sys es el archivo que Windows usa como extensión en disco de la
RAM física. Cuando el sistema se queda sin memoria, el Memory Manager
escoge páginas poco usadas y las escribe en este archivo para liberar RAM.
Cuando una dirección paginada se vuelve a tocar, la página se relee.
Vive por defecto en C:\pagefile.sys, está marcado como oculto y de
sistema, y permanece abierto y bloqueado por el kernel durante
todo el arranque — por eso no se puede simplemente copiar en una sesión
viva. La adquisición se hace al apagar, desde una imagen forense del disco
o leyendo el volumen NTFS en bruto.
Qué contiene
El archivo es un volcado en bruto de páginas de memoria de 4 KB cada una. No hay cabecera, ni índice, ni metadatos por página, ni orden. Las páginas se escribieron en cualquier hueco libre, así que dos páginas consecutivas en disco casi siempre pertenecen a procesos distintos.
En la práctica se encuentra:
- Fragmentos de código ejecutable (imágenes PE, código JIT, shellcode).
- Bins de colmenas de registro (
hbinpaginados desdelsass,services, colmenas de usuario). - Registros MFT, páginas de
$LogFile, caché del sistema de archivos. - Bases SQLite (historial de navegador, clientes de correo).
- Contenido documental — JSON, XML, texto plano, imágenes.
- Secretos en claro que el kernel no podía saber sensibles: contraseñas, tokens bearer, JWTs, archivos descifrados, líneas de comando.
Por qué importa a los analistas
Un archivo de paginación es uno de los pocos lugares donde datos que
solo existieron en memoria persisten en disco. Si no se puede adquirir
la RAM en caliente, pagefile.sys es la siguiente mejor ventana al
estado de la máquina.
Por qué es difícil de parsear
Como el archivo carece de estructura, no se puede "parsear" como un log de eventos. El enfoque estándar es el carving: recorrer el archivo página a página, identificar cada una por su contenido (bytes mágicos, estadísticas, densidad de cadenas) y extraer lo que sobreviva. Eso hace esta herramienta — en tu navegador, vía WebAssembly, sin enviar nada.