Blog
Notes sur la forensique du pagefile.sys Windows et sur cet outil.
- Carving de fragments de ruches de registre depuis pagefile.sys
20/05/2026
Comment identifier les blocs regf et hbin dans un pagefile Windows, ce qu'on peut en récupérer, et comment enchaîner la sortie vers RegRipper / hivexsh / Registry Explorer d'Eric Zimmerman.
Lire la suite → - Détecter des lignes de commande malveillantes dans pagefile.sys
20/05/2026
Commandes PowerShell encodées, téléchargements certutil, payloads mshta, abus de rundll32, squiblydoo via regsvr32 — les motifs de lignes de commande qui apparaissent dans le pagefile.sys de Windows et comment les y trouver.
Lire la suite → - Chiffrer pagefile.sys : le réglage EncryptPagingFile et ce contre quoi il protège
20/05/2026
Windows peut chiffrer pagefile.sys avec une clé éphémère par démarrage. Ce billet explique ce que cela protège, ce que cela ne protège pas, comment cela interagit avec BitLocker, et ce que cela implique pour l'analyse forensique.
Lire la suite → - Trouver des identifiants dans pagefile.sys
20/05/2026
Pourquoi des identifiants fuitent dans le pagefile.sys de Windows, quelles formes rechercher — mots de passe, jetons bearer, JWT, NTLM, Kerberos, jetons des CLI cloud — et comment ce parser les met en avant.
Lire la suite → - Comment acquérir pagefile.sys
20/05/2026
Méthodes pratiques d'acquisition du pagefile.sys de Windows — à chaud, hors-ligne, depuis une image disque ou un snapshot de VM, avec les pièges à éviter.
Lire la suite → - Limites de l'analyse de pagefile.sys
20/05/2026
Ce que vous pouvez et ne pouvez pas récupérer d'un pagefile Windows — et pourquoi la compression mémoire de Windows 10 change la donne.
Lire la suite → - Comment fonctionne réellement la forensique de pagefile.sys
20/05/2026
Carving par signature, extraction de chaînes et analyse d'entropie — les trois techniques qui sous-tendent tout outil d'analyse de pagefile.sys.
Lire la suite → - pagefile.sys vs hiberfil.sys vs swapfile.sys : quel fichier de pagination Windows analyser
20/05/2026
Windows compte trois fichiers liés à la pagination à la racine du disque système — pagefile.sys, hiberfil.sys, swapfile.sys. Chacun contient des données différentes et intervient à des moments différents de l'enquête.
Lire la suite → - Récupérer l'historique de navigation (URL, cookies, auto-remplissage) depuis pagefile.sys
20/05/2026
Comment Chrome, Edge et Firefox font fuiter des données de navigation dans le pagefile.sys de Windows — et comment extraire URL, cookies, requêtes de recherche et valeurs d'auto-remplissage depuis une page carvée.
Lire la suite → - Faut-il supprimer ou désactiver pagefile.sys ?
20/05/2026
Désactiver pagefile.sys libère de l'espace disque et peut faire partie d'un durcissement sécurité — mais cela dégrade aussi les performances et casse les dumps de crash. Voici un point de vue forensique et opérationnel sur quand (ne pas) le faire.
Lire la suite → - Volatility + pagefile.sys : associer les deux pour une forensique mémoire complète
20/05/2026
Volatility ne sait pas parser pagefile.sys tout seul — mais associé à un dump RAM, il peut reconstruire l'espace d'adressage virtuel complet, y compris les pages paginées. Voici le workflow.
Lire la suite → - Qu'est-ce que pagefile.sys ?
20/05/2026
Un tour rapide du pagefile.sys de Windows — pourquoi il existe, ce qu'il contient et pourquoi les analystes forensiques s'y intéressent.
Lire la suite →