Aller au contenu
Pagefile.sys Parser
← Retour au blog

Comment acquérir pagefile.sys

20/05/2026 · 5 min de lecture

pagefile.sys est l'un des fichiers les plus précieux d'un point de vue forensique sur un système Windows — et l'un des plus délicats à récupérer. Windows le maintient ouvert et verrouillé en exclusif par le noyau pendant toute la durée du démarrage, si bien qu'un simple copy C:\pagefile.sys retourne « Le processus ne peut pas accéder au fichier… ».

Il existe quatre voies d'acquisition pratiques. Choisissez celle qui correspond à l'état de la machine.

1. Système actif — lecture NTFS brute

Sur une machine en cours d'exécution, le contenu du fichier reste lisible par du code qui contourne le système de fichiers et lit directement le volume NTFS brut. Quelques outils savent le faire :

  • RawCopy.exe (jschicht/RawCopy) — petit utilitaire Windows, sans installation, qui dépose une copie sans perturber la source. À lancer depuis une invite élevée : 
    RawCopy.exe /FileNamePath:C:\pagefile.sys /OutputPath:E:\evidence
  • FTK Imager LiteAdd Evidence Item → Logical Drive → C: → clic droit sur pagefile.sys → Export Files. FTK utilise des E/S brutes en interne.
  • KAPE--target Pagefile plus --target Hiberfile, --target Swapfile pour un triage en une passe qui hache et copie les trois fichiers.
  • X-Ways Forensics — même idée via « Add Logical / Physical Disk ».

N'écrivez pas la sortie sur C: — choisissez un disque externe ou un partage réseau. Le simple fait d'écrire crée du nouveau contenu paginé et peut écraser les emplacements du pagefile que vous cherchez justement à capturer.

2. Système hors-ligne — montage du disque en lecture seule

Si vous pouvez éteindre la machine (et que le cadre de l'IR le permet), démarrez depuis une clé USB Linux forensique (CAINE, Tsurugi, Paladin) ou placez le disque derrière un bloqueur d'écriture, puis :

sudo mount -t ntfs-3g -o ro /dev/sdb2 /mnt/evidence
cp /mnt/evidence/pagefile.sys /external/evidence/

En dehors de Windows, il n'y a pas de verrou noyau — le fichier n'est plus qu'une suite d'octets.

3. Depuis une image disque

La plupart des engagements impliquent une image forensique complète (E01, dd, AFF4) plutôt qu'un accès matériel direct. Pour en extraire pagefile.sys :

  • FTK Imager : Add Evidence Item → Image File → … → Export Files.
  • Autopsy / The Sleuth Kit : ouvrir l'image, naviguer vers la racine du volume, exporter.
  • tsk_recover, icat (CLI Sleuth Kit) : 
    fls -p -o $OFFSET image.dd | grep pagefile.sys
# récupérer l'inode, puis :
icat -o $OFFSET image.dd $INODE > pagefile.sys

4. Depuis un snapshot de VM

Les snapshots VMware/Hyper-V/VirtualBox incluent le disque invité. Montez l'image disque (*.vmdk, *.vhdx, *.vdi) en lecture seule sur votre hôte d'analyse et copiez. Pour les snapshots Hyper-V Server, le .avhdx est un disque de différenciation — fusionnez-le d'abord sur le .vhdx de base, ou montez la chaîne parent + diff dans PowerShell :

Mount-VHD -Path .\guest.vhdx -ReadOnly

N'oubliez pas les fichiers compagnons

Si vous avez pagefile.sys, profitez-en pour récupérer le reste de la famille pagination tant que vous avez l'accès :

FichierUsage
swapfile.sysWorking sets des apps UWP / Modern — contenu différent
hiberfil.sysSnapshot complet de la RAM si la machine était en hibernation
memory.dmpDump de crash noyau si %SystemRoot%\Memory.dmp existe
MEMORY.DMP / *.hdmpDumps de crash, complets ou noyau seul
Dump RAMSi vous pouvez faire une capture à chaud (DumpIt, WinPMem, Magnet RAM)

Un dump RAM apparié est la plus grosse amélioration possible pour l'analyse de pagefile : il fournit à Volatility les entrées de table de page (PTE) pour rattacher les emplacements du pagefile aux processus — voir le billet sur les limites pour comprendre l'enjeu.

Vérifier avant de partir

Après acquisition :

  1. Hachez : sha256sum pagefile.sys (ou Get-FileHash). Re-hachez sur la machine d'analyse pour confirmer l'intégrité du transfert.
  2. Vérifiez la taille : une installation Windows fraîche avec 16 Go de RAM a un pagefile autour de 2,5 Go. Les systèmes configurés en System managed peuvent largement dépasser les 16 Go. Un fichier de 4 Ko signifie que le pagefile était désactivé.
  3. Tracez la chaîne de garde : qui l'a récupéré, quand, depuis quel hôte, vers quel stockage, avec quel outil.

Pièges courants

  • BitLocker : un disque système chiffré implique d'avoir la clé de récupération ou l'état TPM déverrouillé. Capturez le système dans son état déverrouillé chaque fois que possible.
  • Antivirus : certains EDR mettent RawCopy.exe / FTK en quarantaine au contact. Ajoutez le chemin de votre outil à la liste d'autorisation avant de commencer.
  • Démarrage rapide / veille hybride : un Windows qui s'est « éteint » avec le démarrage rapide a en réalité hiberné, auquel cas hiberfil.sys contient la RAM de la session précédente — un butin bien plus important que le pagefile.
  • Écrire sur le même volume : à éviter. Chaque écriture est un écrasement potentiel d'emplacement de pagefile.

Et ensuite ?

Une fois le fichier en main, déposez-le sur le parser de la page d'accueil — il analyse les octets bruts dans votre navigateur via WebAssembly, traite le fichier par blocs de 16 Mo et produit une classification page par page ainsi que des chaînes extraites et des IOC, sans jamais rien envoyer en ligne.

Pour comprendre ce que l'analyseur fait réellement, voir comment fonctionne réellement la forensique de pagefile.sys.