Analyseur Pagefile.sys Windows
Analyse forensique du pagefile.sys — carving de fichiers, extraction de chaînes et indicateurs de compromission. Traitement par streaming, les fichiers de plusieurs Go restent sur votre appareil.
🔒 Les fichiers sont traités entièrement dans votre navigateur via WebAssembly. Rien n'est envoyé sur Internet.
Déposez pagefile.sys ici, ou cliquez pour parcourir
Votre fichier reste sur cet appareil. Les fichiers volumineux (4–16 Go) sont pris en charge par streaming.
Ce que cet analyseur de pagefile.sys Windows extrait
Trois couches d'analyse opèrent pendant le streaming — carving par signature, extraction de chaînes et balayages regex d'artefacts.
Carving par signature, page par page
Chaque page de 4 Ko est confrontée aux signatures PE (MZ + PE\0\0), ruche de registre (regf, hbin), enregistrement MFT (FILE/BAAD), SQLite, EVTX (ElfFile/ElfChnk), Prefetch (SCCA), LNK, PNG/JPEG/PDF/ZIP, XML/JSON et pages Xpress-Huffman.
Chaînes ASCII et UTF-16LE
Extraction de chaînes à longueur minimale configurable sur tout le fichier, avec continuation au-delà des limites de chunks de 16 Mo. Chaque chaîne conserve son décalage absolu.
Balayages regex d'artefacts
URL, e-mails, adresses IPv4 et IPv6, chemins Windows (C:\…), chemins UNC, clés de registre (HKLM, HKCU…), GUID, indicateurs de lignes de commande (cmd.exe, powershell, mshta, rundll32, certutil…) et heuristiques de credentials (password=, jetons Bearer, formes JWT).
Repli statistique
Les pages sans signature sont classifiées par entropie de Shannon, proportion de nuls et d'imprimables, de sorte que l'analyste voit une couverture complète du fichier — y compris les zones à haute entropie probablement chiffrées.
Comment analyser un pagefile.sys Windows
- 1
Acquérir pagefile.sys
Prenez une copie forensique de pagefile.sys depuis un système éteint, une image disque ou le volume NTFS brut. Windows verrouille le fichier pendant son fonctionnement.
- 2
Ouvrir cette page dans le navigateur
Aucune installation : l'analyseur est un programme Rust compilé en WebAssembly qui tourne entièrement côté client.
- 3
Déposer le fichier ou le sélectionner
Toutes les tailles sont supportées. Le navigateur lit le fichier par tranches de 16 Mo ; le fichier complet n'est jamais en mémoire.
- 4
Examiner les quatre onglets de résultats
Vue d'ensemble affiche l'histogramme des types de pages. Carte des pages liste chaque page classifiée. Chaînes est une liste filtrable d'ASCII et UTF-16LE. Artefacts regroupe URL, e-mails, IP, chemins, clés de registre, GUID, lignes de commande et indices de credentials.
- 5
Exporter les résultats
Téléchargez le rapport JSON complet, les chaînes en TXT ou les artefacts en CSV pour la suite de votre enquête.
Pour approfondir la forensique du pagefile.sys
Lectures complémentaires sur le format, les techniques utilisées et ce qu'on peut récupérer ou non.
- Carving de fragments de ruches de registre depuis pagefile.sysComment identifier les blocs regf et hbin dans un pagefile Windows, ce qu'on peut en récupérer, et comment enchaîner la sortie vers RegRipper / hivexsh / Registry Explorer d'Eric Zimmerman.Lire l'article →
- Détecter des lignes de commande malveillantes dans pagefile.sysCommandes PowerShell encodées, téléchargements certutil, payloads mshta, abus de rundll32, squiblydoo via regsvr32 — les motifs de lignes de commande qui apparaissent dans le pagefile.sys de Windows et comment les y trouver.Lire l'article →
- Chiffrer pagefile.sys : le réglage EncryptPagingFile et ce contre quoi il protègeWindows peut chiffrer pagefile.sys avec une clé éphémère par démarrage. Ce billet explique ce que cela protège, ce que cela ne protège pas, comment cela interagit avec BitLocker, et ce que cela implique pour l'analyse forensique.Lire l'article →
- Trouver des identifiants dans pagefile.sysPourquoi des identifiants fuitent dans le pagefile.sys de Windows, quelles formes rechercher — mots de passe, jetons bearer, JWT, NTLM, Kerberos, jetons des CLI cloud — et comment ce parser les met en avant.Lire l'article →
- Comment acquérir pagefile.sysMéthodes pratiques d'acquisition du pagefile.sys de Windows — à chaud, hors-ligne, depuis une image disque ou un snapshot de VM, avec les pièges à éviter.Lire l'article →
- Limites de l'analyse de pagefile.sysCe que vous pouvez et ne pouvez pas récupérer d'un pagefile Windows — et pourquoi la compression mémoire de Windows 10 change la donne.Lire l'article →
- Comment fonctionne réellement la forensique de pagefile.sysCarving par signature, extraction de chaînes et analyse d'entropie — les trois techniques qui sous-tendent tout outil d'analyse de pagefile.sys.Lire l'article →
- pagefile.sys vs hiberfil.sys vs swapfile.sys : quel fichier de pagination Windows analyserWindows compte trois fichiers liés à la pagination à la racine du disque système — pagefile.sys, hiberfil.sys, swapfile.sys. Chacun contient des données différentes et intervient à des moments différents de l'enquête.Lire l'article →
- Récupérer l'historique de navigation (URL, cookies, auto-remplissage) depuis pagefile.sysComment Chrome, Edge et Firefox font fuiter des données de navigation dans le pagefile.sys de Windows — et comment extraire URL, cookies, requêtes de recherche et valeurs d'auto-remplissage depuis une page carvée.Lire l'article →
- Faut-il supprimer ou désactiver pagefile.sys ?Désactiver pagefile.sys libère de l'espace disque et peut faire partie d'un durcissement sécurité — mais cela dégrade aussi les performances et casse les dumps de crash. Voici un point de vue forensique et opérationnel sur quand (ne pas) le faire.Lire l'article →
- Volatility + pagefile.sys : associer les deux pour une forensique mémoire complèteVolatility ne sait pas parser pagefile.sys tout seul — mais associé à un dump RAM, il peut reconstruire l'espace d'adressage virtuel complet, y compris les pages paginées. Voici le workflow.Lire l'article →
- Qu'est-ce que pagefile.sys ?Un tour rapide du pagefile.sys de Windows — pourquoi il existe, ce qu'il contient et pourquoi les analystes forensiques s'y intéressent.Lire l'article →
Questions fréquentes
Qu'est-ce que pagefile.sys ?
pagefile.sys est le fichier que Windows utilise comme extension sur disque de la RAM physique. Quand la mémoire manque, les pages peu utilisées sont écrites dans ce fichier.
Mon fichier est-il envoyé sur Internet ?
Non. L'analyseur tourne dans votre navigateur via WebAssembly. Les octets ne quittent jamais l'appareil — aucun traitement serveur, aucune télémétrie.
Qu'est-ce qui peut être extrait d'un pagefile ?
Classification par signature (images PE, ruches de registre, enregistrements MFT, bases SQLite, chunks EVTX, Prefetch, LNK, PNG/JPEG/PDF/ZIP, pages compressées Xpress-Huffman), chaînes ASCII et UTF-16LE avec décalages absolus, et artefacts regex : URL, e-mails, IPv4/IPv6, chemins Windows, chemins UNC, clés de registre, GUID, indices de lignes de commande, heuristiques de credentials.
Quelle taille de fichier est supportée ?
Les pagefiles de plusieurs gigaoctets (4 Go, 8 Go, 16 Go et plus) sont pris en charge. Le Web Worker lit le fichier par tranches de 16 Mo via File.slice() pour éviter la saturation mémoire.
Fonctionne-t-il avec la mémoire compressée de Windows 10 / 11 ?
Les pages compressées par CompressionStoreManager (Xpress-Huffman, CompressionFormat 4) sont détectées et signalées. La décompression complète est prévue ultérieurement.
Peut-on relier chaque page à un processus ?
Pas à partir du seul pagefile. Le mapping page → (processus, adresse virtuelle) vit dans les page-table entries (PTE) en RAM — il faut un dump mémoire associé (Volatility / MemProcFS). L'analyse autonome du pagefile fournit du contenu, pas du contexte.
Différence entre pagefile.sys, swapfile.sys et hiberfil.sys ?
pagefile.sys est le stockage par défaut pour la mémoire anonyme paginée. swapfile.sys conserve les working sets d'apps UWP. hiberfil.sys est un snapshot RAM complet pris à l'hibernation. Chacun fournit des artefacts différents.