Mục đích của nhóm C: \ exchangefile.sys 'trong Windows 8 là gì?

61

Trên Windows 8 có hai tệp sau trong C: \

  1. pagefile.sys - không có gì bất ngờ. Nó lớn như tôi đã cấu hình như kích thước tệp trang của tôi
  2. exchangefile.sys - có kích thước 256 MB

Mục đích của swapfile.systập tin bổ sung này là gì?

Tôi đang tìm kiếm một câu trả lời có thẩm quyền về điều này. Đã có đủ suy đoán về điều này trên web.

windows-8  pagefile 
sử dụng
nguồn
3
Các câu trả lời ở đây có vẻ khá có thẩm quyền, đặt tên tạm dừng / sơ yếu lý lịch của các ứng dụng Metro là một mục đích sử dụng chính cho exchangefile.sys.
Indrek
@Inrek vâng. Tôi đã hy vọng cho một chi tiết hơn một chút. Tại sao hai tập tin? Các câu trả lời hiện có khá mỏng về chi tiết.
usr
4
Windows 8, đủ kỳ lạ, hỗ trợ cả hoán đổi và phân trang cùng một lúc. Các pagefile sao lưu bộ nhớ vật lý quá mức và giữ các đối tượng không được truy cập trong một khoảng thời gian rất dài. Hoán đổi giữ mọi thứ được tích cực đẩy ra khỏi bộ nhớ vì chúng sẽ không được truy cập trong một thời gian. Phân trang hiệu quả hơn trên máy tính để bàn hiệu suất cao. Trao đổi hiệu quả hơn trên máy tính bảng và điện thoại hiệu năng thấp. Nếu một tệp được sử dụng, nó sẽ bị phân mảnh rất nhiều do sự pha trộn của các trang nhỏ, có kích thước cố định để phân trang và khối lớn để hoán đổi.
David Schwartz
Cần phải có hai tệp vì quá nhiều chương trình giả định pagefile sẽ chỉ được sử dụng để phân trang, thay vì phân trang cộng .
Surfasb

Câu trả lời:

5

Một số liên kết ngoài các câu trả lời được đăng kết thúc liên kết đến nó, nhưng http://bloss.technet.com/b/askperf/archive/2012/10/28/windows-8-windows-server-2012-the-new -swap-file.aspx

dường như là một câu trả lời dứt khoát hơn:

Bạn có thể hỏi, Tại sao chúng ta cần một tệp trang ảo khác? Hay, với việc giới thiệu Ứng dụng hiện đại, chúng ta cần một cách để quản lý bộ nhớ của họ bên ngoài phương thức Bộ nhớ ảo / Trang web truyền thống. Cùng với đó, các %% SystemDrive% \ exchangefile.sys đã ra đời.

Windows 8 có thể ghi một cách hiệu quả toàn bộ tập hợp (riêng tư) của một ứng dụng Hiện đại bị treo vào đĩa để có thêm bộ nhớ khi hệ thống phát hiện áp lực. Quá trình này tương tự như ngủ đông một ứng dụng cụ thể, và sau đó tiếp tục lại khi người dùng chuyển trở lại ứng dụng. Trong trường hợp này, Windows 8 tận dụng cơ chế tạm dừng / tiếp tục của các ứng dụng Hiện đại để làm trống hoặc điền lại bộ làm việc của ứng dụng.

Orangutech
nguồn
39

Từ một nhân viên của Microsoft tại diễn đàn Technet .

Đây là một loại pagefile đặc biệt được sử dụng bởi hệ thống để làm cho các loại hoạt động phân trang nhất định hiệu quả hơn. Nó không liên quan đến cài đặt kết xuất tự động.

 

Đình chỉ / tiếp tục các ứng dụng kiểu Metro là một kịch bản, có thể có các ứng dụng khác trong tương lai.

Karthik T
nguồn
3

Mặc dù tôi không chắc chính xác mục đích của nó là gì, nhưng có vẻ như nó được sử dụng để lưu trữ / lưu trữ nội dung hiện đang sử dụng.

Nếu bạn tò mò muốn xem những gì bên trong, bạn có thể có được các tệp bị khóa như exchangefile.sys hoặc pagefile.sys từ một hệ thống Windows đang chạy bằng cách sử dụng FGET(Forensic Get by HBGary).

Chạy lệnh sau (với tư cách Quản trị viên):

FGET -extract% systemdrive% \ exchangefile.sys OUTPUT_PATH

Sau đó, bạn có thể thực hiện phân tích chuỗi bằng cách sử dụng Strings. Trong exchangefile.sys trên hệ thống của tôi, trong số những thứ khác tôi tìm thấy:

địa chỉ email của tôi, một số email và địa chỉ email, biến môi trường, một phần nội dung từ các trang web tôi đã truy cập, chuỗi mimetype, chuỗi tác nhân người dùng, tệp XML, URL, địa chỉ IP, tên người dùng, tên hàm thư viện, tùy chọn ứng dụng, chuỗi đường dẫn, v.v.

Tôi cũng đã thử khắc tập tin để tìm các định dạng hình ảnh phổ biến và tìm thấy một số JPEG và PNG bao gồm các biểu tượng ứng dụng, tài nguyên trang web, một số hình ảnh hồ sơ, tài nguyên hình ảnh từ các ứng dụng Metro, v.v.

Nếu FGETkhông hiệu quả với bạn, hãy thử sử dụng ifindicattừ The Sleuth Kit . Bạn có thể tìm thấy số mục nhập MFT cho exchangefile.sys bằng cách sử dụng ifindnhư sau:

ifind -n /swapfile.sys \\. \% systemdrive%

Khi bạn có số inode, bạn có thể truy xuất tệp bằng cách sử dụng icatnhư sau:

icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH

Ví dụ:

C: \> ifind -n /swapfile.sys \\. \% Systemdrive%
1988

C: \> icat \\. \% Systemdrive% 1988>% systemdrive% \ exchangefile.dmp

LƯU Ý: Bạn cần chạy cả hai lệnh từ dấu nhắc lệnh nâng cao (nghĩa là chạy cmdvới tư cách Quản trị viên)

Vinayak
nguồn
công cụ gặp sự cố khi tôi cố chạy lệnh
magicandre1981
@ magicandre1981 Bạn phải chạy nó với tư cách quản trị viên. Tôi quên đề cập đến điều đó
Vinayak
Tôi đã làm điều này.
magicandre1981
@ magicandre1981 Phiên bản Windows nào bạn đang chạy? Ngoài ra, nếu FGET không phù hợp với bạn, có nhiều cách khác để truy xuất tệp hoán đổi từ hệ thống đang chạy. Kiểm tra liên kết đầu tiên trong câu trả lời của tôi cho một số lựa chọn thay thế.
Vinayak
Tôi sử dụng Windows 8 gốc (64Bit). Tôi nhận được c0000417 (STATUS_INVALID_CRUNTIME_PARAMETER) dưới dạng mã lỗi
magicandre1981
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.