Mặc dù tôi không chắc chính xác mục đích của nó là gì, nhưng có vẻ như nó được sử dụng để lưu trữ / lưu trữ nội dung hiện đang sử dụng.
Nếu bạn tò mò muốn xem những gì bên trong, bạn có thể có được các tệp bị khóa như exchangefile.sys hoặc pagefile.sys từ một hệ thống Windows đang chạy bằng cách sử dụng FGET
(Forensic Get by HBGary).
Chạy lệnh sau (với tư cách Quản trị viên):
FGET -extract% systemdrive% \ exchangefile.sys OUTPUT_PATH
Sau đó, bạn có thể thực hiện phân tích chuỗi bằng cách sử dụng Strings
. Trong exchangefile.sys trên hệ thống của tôi, trong số những thứ khác tôi tìm thấy:
địa chỉ email của tôi, một số email và địa chỉ email, biến môi trường, một phần nội dung từ các trang web tôi đã truy cập, chuỗi mimetype, chuỗi tác nhân người dùng, tệp XML, URL, địa chỉ IP, tên người dùng, tên hàm thư viện, tùy chọn ứng dụng, chuỗi đường dẫn, v.v.
Tôi cũng đã thử khắc tập tin để tìm các định dạng hình ảnh phổ biến và tìm thấy một số JPEG và PNG bao gồm các biểu tượng ứng dụng, tài nguyên trang web, một số hình ảnh hồ sơ, tài nguyên hình ảnh từ các ứng dụng Metro, v.v.
Nếu
FGET
không hiệu quả với bạn, hãy thử sử dụng
ifind
và
icat
từ
The Sleuth Kit . Bạn có thể tìm thấy số mục nhập MFT cho
exchangefile.sys bằng cách sử dụng
ifind
như sau:
ifind -n /swapfile.sys \\. \% systemdrive%
Khi bạn có số inode, bạn có thể truy xuất tệp bằng cách sử dụng icat
như sau:
icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH
Ví dụ:
C: \> ifind -n /swapfile.sys \\. \% Systemdrive%
1988
C: \> icat \\. \% Systemdrive% 1988>% systemdrive% \ exchangefile.dmp
LƯU Ý: Bạn cần chạy cả hai lệnh từ dấu nhắc lệnh nâng cao (nghĩa là chạy cmd
với tư cách Quản trị viên)