Что за файл pagefile.sys, как его удалить и нужно ли это делать

Pagefile.sys: можно ли удалить?

Если в настройках Windows включить отображение скрытых и системных файлов, то на системном диске можно найти файл pagefile.sys. Обычно он занимает много гигабайт, поэтому пользователи интересуются, что это за файл, зачем он нужен и можно ли его удалить из операционной системы Windows 7 или Windows 10. Если вас также интересуют эти вопросы, то данная статья должна вам помочь.

Что такое Pagefile.sys и зачем он нужен?

Для начала расскажем, что это за файл. Pagefile.sys – это файл подкачки операционной системы Windows. Этот файл используется в качестве продолжения оперативной памяти компьютера.

Если запущенные программы используют всю доступную на компьютере оперативную память, то операционная система начнет перемещать некоторые данные из оперативной памяти в файл подкачки. Таким образом освобождается место в оперативной памяти для запуска и работы новых программ. Если же для работы понадобятся данные, которые были перемещены в файл подкачки, то операционная система переместит их обратно в оперативную память. Благодаря этому механизму компьютер продолжает работать и не зависает даже после того как программы используют всю имеющуюся оперативную память.

Можно ли удалить Pagefile.sys?

Теоретически можно. Операционная система Windows может работать и без файла Pagefile.sys. Но, делать этого не стоит. Дело в том, что без файла подкачки компьютер станет более уязвимым к различным зависаниям и ошибкам. Если программы израсходуют всю оперативную память, а файл Pagefile.sys будет удален, то компьютер может зависнуть или программы начнут вылетать и сообщать об ошибках.

Но, если решительно настроены попробовать, как компьютер будет работать после удаления Pagefile.sys, то вы можете это сделать. Для удаления файла Pagefile.sys вам сначала нужно нажать комбинацию клавиш Windows+Pause/Break и в открывшемся окне перейти в раздел «Дополнительные параметры системы».

После этого нужно перейти на вкладку «Дополнительно» и нажать на кнопку «Параметры» в блоке настроек «Быстродействие».

Дальше снова открываем вкладку «Дополнительно» и нажимаем на кнопку «Изменить» в блоке настроек «Виртуальная память».

Таким образом вы откроете окно с настройками файла Pagefile.sys. Если вы хотите удалить файл Pagefile.sys, то здесь нужно отключить «Автоматически выбирать объем файла подкачки», выбрать вариант «Без файла подкачки» и нажать на кнопку «Задать».

Дальше нужно закрыть все окна нажатием на кнопку «Ок» и перезагрузить компьютер. В результате этих действий файл Pagefile.sys будет удален с системного диска.

Как освободить место, занимаемое Pagefile.sys?

Если у вас трудности со свободным местом на системном диске, то вы можете освободить место, которое занимает файл Pagefile.sys, при это не удаляя его. Делается это при помощи переноса файла на другой диск.

Для этого нужно открыть окно с настройками файла Pagefile.sys, так как это описано выше. После этого нужно отключить функцию «Автоматически выбирать объем файла подкачки», выбрать системный диск, выбрать «Без файла подкачки» и нажать на кнопку «Задать». Таким образом вы удалите файл Pagefile.sys с системного диска.

После того, как файл Pagefile.sys удален с системного диска, его нужно создать на любом другом диске. Для этого нужно выбрать другой диск, указать размер файла подкачки либо задать размер по выбору системы и нажать на кнопку «Задать».

Дальше нужно закрыть все окна нажатием на кнопку «Ок» и перезагрузить компьютер. В результате этих манипуляций файл подкачки будет перенесен с системного диска на тот диск, который вы выбрали.

Нужно отметить, что для максимальной скорости работы файл Pagefile.sys нужно размещать на самом быстром из ваших дисков. Поэтому если у вас система установлена на SSD диск, то переносить файл подкачки на обычный жесткий диск не целесообразно. В этом случае вы много потеряете в скорости работы.

Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.

Задайте вопрос в комментариях под статьей или на странице «Задать вопрос» и вы обязательно получите ответ.

Читайте также:
AnyDesk — удаленное управление компьютером и не только

Что за файл pagefile.sys, как его удалить и нужно ли это делать

Прежде всего о том, что такое pagefile.sys в Windows 10, Windows 7, 8 и XP: это файл подкачки Windows. Зачем он нужен? Дело в том, что какое бы количество оперативной памяти не было установлено на вашем компьютере, не всем программам для работы будет ее достаточно. Современные игры, видео и графические редакторы и многое другое программное обеспечение с легкостью заполнит Ваши 8 Гб RAM и попросит еще. В этом случае и используется файл подкачки. Файл подкачки по умолчанию находится на системном диске, обычно здесь: C:pagefile.sys. В этой статье поговорим о том, хорошая ли это идея — отключить файл подкачки и тем самым удалить pagefile.sys, а также о том, как переместить pagefile.sys и какие преимущества это может дать в некоторых случаях.

Обновление 2016: более подробная инструкция по удалению файла pagefile.sys, а также видео руководство и дополнительная информация доступны в стать Файл подкачки Windows.

Как удалить pagefile.sys

Один из главных вопросов пользователей — можно ли удалить файл pagefile.sys. Да, можно, и сейчас я напишу о том, как это сделать, а далее поясню, почему этого делать не стоит.

Итак, для того, чтобы изменить параметры файла подкачки в Windows 7 и Windows 8 (и в XP тоже), зайдите в Панель управления и выберите пункт «Система», затем в меню слева — «Дополнительные параметры системы».

Затем, на вкладке «Дополнительно» кликните кнопку «Параметры» в разделе «Быстродействие».

В параметрах быстродействия откройте вкладку «Дополнительно» и в разделе «Виртуальная память» нажмите «Изменить».

По умолчанию, Windows автоматически управляет размером файла pagefile.sys и, в большинстве случаев это является оптимальным вариантом. Тем не менее, если вы хотите удалить pagefile.sys, вы можете это сделать, сняв галочку «Автоматически выбирать объем файла подкачки» и установив пункт «Без файла подкачки». Также вы можете изменить размер этого файла, указав его самостоятельно.

Почему не следует удалять файл подкачки Windows

Есть несколько причин, по которым люди решают удалить pagefile.sys: он занимает место на диске — это первая из них. Вторая — они думают, что без файла подкачки компьютер будет работать быстрее, так как на нем и так достаточно оперативной памяти RAM.

Pagefile.sys в проводнике

Что касается первого варианта, то с учетом объемов сегодняшних жестких дисков, удаление файла подкачки навряд ли может оказаться критически необходимым. Если у Вас стало кончаться место на жестком диске, то скорее всего это говорит о том, что вы там храните что-то ненужное. Гигабайты образов дисков игр, фильмы и прочее — это не то, что обязательно держать на своем жестком диске. К тому же, если вы скачали некий Repack объемом несколько гигабайт, и установили его на компьютер, сам файл ISO можно удалять — работать игра будет и без него. Так или иначе, это статья не о том, как почистить жесткий диск. Просто, если для вас являются критичными несколько гигабайт, занимаемые файлом pagefile.sys, лучше поискать что-то другое, явно ненужное, и оно, скорее всего найдется.

Второй пункт, касающийся производительности — тоже миф. Windows может работать без файла подкачки при условии большого количества установленной оперативной памяти RAM, однако никакого положительного влияния на производительность системы это не имеет. Кроме этого, отключение файла подкачки может привести к некоторым неприятным вещам — некоторые программы, не получив достаточно свободной памяти для работы, будут сбоить и «вылетать». Некоторое программное обеспечение, например виртуальные машины, могут вообще не запуститься, если вы отключите файл подкачки Windows.

Подводя итог, нет разумных причин, чтобы избавляться от pagefile.sys.

Как переместить файл подкачки Windows и в каких случаях это может быть полезным

Несмотря на все вышесказанное об отсутствии необходимости менять стандартные настройки для файла подкачки, в некоторых случаях перемещение файла pagefile.sys на другой жесткий диск может быть полезным. Если у вас на компьютере установлено два отдельных жестких диска, один из которых системный и на нем же установлены необходимые программы, а второй содержит относительно редко используемые данные, перемещение файла подкачки на второй диск может положительно сказаться на производительности в те моменты, когда виртуальная память задействована. Переместить pagefile.sys можно там же, в настройках виртуальной памяти Windows.

Читайте также:
Как отключить диспетчер задач в Windows 10, 8.1 и Windows 7

Нужно учесть, что это действие разумно только в том случае, когда у Вас два отдельных физических жестких диска. Если же ваш жесткий диск разбит на несколько разделов, перемещение файла подкачки на другой раздел не только не поможет, но в некоторых случаях может и замедлить работу программ.

Таким образом, суммируя все вышенаписанное, файл подкачки — важная составляющая часть Windows и лучше бы Вам его не трогать, если Вы только точно не знаете, зачем вы это делаете.

Системный файл pagefile.sys: как его удалять, перемещать, изменять размер, и для чего он нужен

Операционная система Windows 10 очень ресурсоемкая, для ее нормальной работы требуются много свободной вычислительной мощности даже по нынешним меркам. Нередко ей становится недостаточно объема памяти, предоставляемого физической оперативной памятью (RAM), чтобы вместить все запущенные процессы.

Что такое pagefile.sys?

В Windows10 реализовано автоматическое управление файлом подкачки. Неумелыми действиями с этим файлом можно нанести непоправимый ущерб операционной системе, поэтому он надежно спрятан от простых пользователей, и многие даже не догадываются о его существовании. Но иногда бывает необходимо получить и ручной доступ к этому файлу, чтобы перенести его на внешний диск или ограничить в размерах, когда нужно освободить место на основном диске и увеличить общую производительность системы.

Можно ли удалить файл pagefile.sys?

Как удалить pagefile.sys?

Удалять pagefile.sys категорически не рекомендуется, но все же это можно сделать, когда есть уверенность, что файл поврежден и вызывает проблемы в работе Windows.

Просмотр скрытых файлов операционной системы

Прежде чем удалить pagefile.sys, его нужно сделать видимым и доступным для манипуляций.

Первое, что для этого понадобится, это открыть проводник и перейти на диск C.

Чтобы развернуть меню ленты, нужно нажать комбинацию клавиш Control + F1, далее нажать «Просмотр», а затем выбрать «Параметры».

В раскрывшемся меню следует нажать на вкладку «Вид» и затем снять галочку «Скрыть защищенные файлы операционной системы (рекомендуется)».

Далее следует отметить включенным параметр «Показать скрытые файлы, папки и диски» и нажать кнопку «Применить». После этого pagefile.sys, как и все остальные скрытые файлы, станет доступен для просмотра.

Удаление файла pagefile.sys

После удаления файла потребуется перезагрузка Windows.

Как переместить файл pagefile.sys

По умолчанию размер файла pagefile.sys составляет около 12 ГБ. Однако он может сильно отличаться от среднего значения в зависимости от вычислительной мощности компьютера и от объема физической памяти.

Чтобы увеличить свободное пространство на основном жестком диске, файл подкачки можно переместить на внешний накопитель. Вдобавок к освободившемуся месту в постоянном хранилище данных это приведет к увеличению общей производительности системы, которое будет тем заметнее, чем более высокотехнологичная основа заложена в устройстве внешнего накопителя. Предпочтительнее всего выбирать внешний жесткий диск на основе твердотельного накопителя SSD с интерфейсом USB 3.0. Вне зависимости от типа жесткого диска, нужно убедиться, что он отформатирован в файловой системе NTFS, которая способна работать с файлами больших размеров.

Доступ к расширенным настройкам системы

В появившемся новом окне следует перейти на вкладку «Дополнительно», найти раздел «Виртуальная память» и нажать «Изменить».

Перенос файла на внешний накопитель

После этого в разделе «Файл управления системой» нужно выбрать «Нет файла подкачки». Затем выбрать внешний диск, который отображается в списке под диском C.

Далее остается нажать кнопку «Установить» и выбрать «Да» под появившимся окном с предупреждением.

Читайте также:
Неопознанная сеть Windows 10

Чтобы изменения вступили в силу, понадобится перезагрузить компьютер. После перезагрузки Windows 10 автоматически удалит старый файл pagefile.sys и создаст новый на внешнем диске.

Как изменить размер pagefile.sys

Самый лучший способ уменьшить размер файла подкачки – это установить дополнительные модули физической оперативной памяти. Чем больше в распоряжении системы есть физической оперативной памяти, тем меньше она нуждается в файле подкачки, поэтому Windows автоматически уменьшает pagefile.sys с увеличением объема RAM. Например, в компьютере с 32 ГБ оперативной памяти под управлением Windows 10 файл подкачки редко когда превышает 2,5 ГБ.

Просмотр загруженности системных ресурсов через диспетчер задач

Далее нужно перейти на вкладку «Производительность» и выбрать «Память». В этой вкладке отображается, сколько виртуальной памяти задействовано в данный момент времени. Чтобы получить приблизительное представление о среднем размере файла pagefile.sys, нужно отслеживать этот показатель в течение нескольких дней.

Установка ограничения на размер файла подкачки

Чтобы получить доступ к соответствующим настройкам, нужно ввести слово «Дополнительно» в строке поиска панели управления, затем выбрать «Просмотреть расширенные настройки системы». В разделе «Производительность» нужно нажать «Настройки».

Далее в открывшемся новом окне следует перейти на вкладку «Дополнительно», найти раздел «Виртуальная память» и нажать «Изменить».

В окне «Виртуальная память» нужно снять флажок «Автоматически управлять размером файла подкачки на каждом диске», после чего выбрать опцию «Нестандартный размер». В поле «начальный размер» следует задать значение не менее 800 МБ.

В поле «Максимальный размер» нужно ввести желаемый верхний предел для размера файла подкачки. Следует помнить, что 1 ГБ = 1024 МБ, поэтому, например, чтобы получить максимальный размер 8 ГБ, в настройках надо указать 8 192 МБ.

Чтобы подтвердить сделанные изменения, нужно нажать кнопку «Установить».

My-pk.ru

Программирование, интернет-маркетинг, сайты, работа с ОС: Windows, MacOS, Linux

Pagefile.sys — что за файл в виндовс? Как его увеличить/уменьшить?

У каждого компьютера есть определённый запас мощности по производительности. И иногда, его может не хватать для работы с некоторыми требовательными программами. Одним из аппаратных элементов, отвечающих за производительность ПК является, так называемый, файл подкачки виндовс — «Pagefile sys».

Что такое «Pagefile.sys» в Windows?

Файл подкачки (виртуальная память или своп-файл) представляет собой свободное место на жестком диске, которое резервируется системой для сгрузки неиспользуемых файлов в процессе работы.

Это помогает разгрузить оперативную память для продуктивной работы. Файл подкачки изменяется (к примеру, файл можно увеличить) в настройках Windows 10 и используется только для этих целей. Никакие другие программы и задачи не имеют доступа к этому сектору памяти .

Если сказать совсем просто, то в момент, когда оперативная память в виндовс работает и загружена до предела, та часть информации, которая не требует быстрой скорости считывания, отправляется на жесткий диск (в этот самый Pagefile sys). В нужный момент времени она считывается именно с него.

Таким образом, виндовс 7 (или версии по новее) не закрывает принудительно ваши ресурсозатратные процессы. Своп-файл помогает компьютеру поддерживать стабильный уровень работоспособности даже тогда, когда ресурсов ОЗУ критически не хватает.

Сколько ставить размер файла подкачки в виндовс 10/7?

Вопрос «сколько выставлять размер файла?» — довольно спорный. У разных специалистов — ответы разные. Кто-то говорит, что его нужно увеличить, и ставить значения в 2 раза больше, чем объем вашей ОЗУ. Другие говорят, что файл нужно уменьшить, а для нормальной работы Windows достаточно и 1 Гб. Ну а третьи, вовсе считают, что Pagefile sys бесполезен, и его следует удалить… Давайте разбираться!

На самом деле, одного оптимального размера, который подойдёт для любого компьютера на Windows 10 — просто не существует. Это связано с тем, что у всех разные по мощности компьютеры. Поэтому выбирать размер Pagefile sys придётся индивидуально, конкретно под вашу систему. Как это сделать, мы расскажем дальше, а пока что несколько рекомендаций по установке параметров для файла подкачки:

  • Размер своп файла должен полностью зависеть от объёма оперативной памяти, установленной на ОЗУ. Чем меньше объём, тем больше своп файл!
  • В параметрах «Исходный» и «Максимальный», следует указать одно и тоже число. В противном случае, объём памяти, равный разнице этих чисел, будет просто простаивать, занимая лишнюю память на диске Windows.
  • Если у вас установлено 2 раздельных накопителя, то вы можете установить файл подкачки, на любой понравившейся (даже тот, на котором НЕ стоит Windows 10). Мы рекомендуем выбирать тот, на котором скорость чтения и записи выше.
Читайте также:
Avira PC Cleaner — утилита для удаления вредоносных программ
Размер ОЗУ в гигабайтах Минимальный размер PageFile.sys в мегабайтах
1 +8192
2 +6144
4 +4096
8 +2048
16+ + 1024

Стоит понимать, что слишком маленький размер PageFile.sys позволит освободить несколько гигабайт памяти на жёстком диске, однако значительно замедлит работу Windows (особенно на ПК с небольшим объёмом ОЗУ).

Как изменить (уменьшить) размер файла подкачки?

Файл подкачки – гибкий и настраиваемый ресурс. Пользователь самостоятельно может управлять его размером (уменьшить или увеличить). По умолчанию, виндовс автоматически назначает его размер, но при необходимости вы можете его изменить.

Для того, чтобы скорректировать размер Pagefile.sys в большую или меньшую сторону существует определённый алгоритм действий.

  1. Первым делом, нам нужно кликнуть ПКМ по значку «Этот компьютер» на рабочем столе. В отобразившемся контекстном меню, выбираем пункт «Свойства».;
  2. Откроется системное окно. В правой его части находим раздел «Дополнительные параметры системы».;
  3. В подразделе «Дополнительно» нужно найти пункт «Быстродействие», а затем нажать кнопку «Параметры»;
  4. Переходим в подпункт «Дополнительно» и отыскиваем «Изменить…». Теперь нужно убрать галочку с поля «Автоматически выбирать объем файла»;
  5. Далее нужно отметить диск, на котором вы хотите разместить «pagefile sys», а также выбрать «Указать размер»;
  6. Задать объем файл подкачки в мегабайтах (помните, что 1 ГБ = 1024 МБ);
  7. Нажмите «ОК!» для подтверждения.

  • Выберите «Параметры»!
  • Теперь нужно нажать на клавишу «Изменить…».
  • Размер следует указывать исходя из данных нашей таблицы (см. выше). Кликните «Задать».

Для сохранения внесённых изменений, перезагрузите windows после выполнения процедуры. После чего, мы советуем немного нагрузить ПК требовательным софтом (или просто провести тест на производительность). Если виндовс 10 стал работать медленнее, придётся вернуть все параметры на прежние значения.

Можно ли удалить файл Pagefile sys?

Чисто гипотетически, pagefile sys можно не только изменить (уменьшить), но и полностью удалить с вашего ПК. А стоит ли это делать? В принципе, каждый пользователь сам решает как распорядиться своим компьютером, поэтому как удалить файл подкачки, мы расскажем далее…

Знаете ли вы, что за файл «hiberfil.sys» и почему он занимает столько места на жёстком диске? Ответ в другой нашей статье!

Удаление файла происходит при помощи изменения его параметров. Для это нужно следовать следующей инструкции:

  1. Откройте панель управления в виндовс 10 (или другой версии, к примеру, 7);
  2. Найдите пункт «Система и безопасность» → «Система»;
  3. Затем выберите «Доп. парам. системы»;
  4. Появится вкладка с настройками и параметрами. В разделе «Дополнительно» выберите пункт «Быстродействие» → «Параметры»;
  5. Теперь ещё раз выбираем подраздел «Дополнительно» и кликаем по кнопке «Изменить»;
  6. Готово! Можно настроить файл подкачки так, как вам будет удобно. Для того, чтобы удалить pagefile sys, нужно выбрать пункт «Без файла подкачки» и подтвердить действие!
  • Перейдите в «Панель управления» и выберите пункт, отмеченный на картинке!
  • Затем нам нужно открыть подраздел «Система»…
  • В правой части окна нажмите на отмеченную нами кнопку!
  • Кликните «Параметры»!
  • Следуйте инструкции на картинке!
  • Не забудьте нажать «Задать»!

Вот и всё! Не требуется ни перезагрузка виндовс 10, ни какие-либо дополнительные действия с пк. На вашем диске больше не будет места отведённого под файл подкачки, а значит свободного пространства станет больше.

А теперь поговорим о последствиях удаления своп файла. Зачастую, пользователи решают удалить его из-за того, что он занимает довольно много места. Вторая причина – ошибочное мнение о том, что пк будет работать еще быстрее и без pagefile sys. Особенно, если пользователем совсем недавно была куплена новая оперативка на 8 гб. Давайте рассмотрим каждое из мнений :

  • Своп-файл занимает слишком много памяти. Файл подкачки не настолько велик, чтобы его стоило удалять. Если у пользователя забивается диск, то это, вероятнее всего, связано с лишними и ненужными файлами самого юзера, беспорядком в папках и дисках. Старые забытые фильмы, торренты, образы дисков, фотографии и это только часть того, что может засорять накопитель;
  • Файл подкачки не нужен на современных ПК. Если удалить pagefile.sys с Windows, то скорость работы компьютера в каком-нибудь Ворде может и не изменится. Но, при работе с «тяжёлыми» программами (редакторы фото, видео, программы для монтажа и игры) они могут недополучить необходимые ресурсы и просто вылетать, автоматически закрываться.
Читайте также:
Установка устройства запрещена на основании системной политики — как исправить

Лучше оставить файл на своем месте и не удалять его. Единственное, что вы можете сделать, так это изменить его размер, отталкиваясь от своих потребностей и нужд системы (увеличить или уменьшить).

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Часть 1. Что скрывают pagefile.sys

Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.

Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.

Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.

Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:

Hidden True Owner SID S-1-5-32-544
System True Owner Name Администраторы
Read Only False Group SID S-1-5-18
Archive True Group Name SYSTEM

Видно, что это скрытый системный файл, который так просто не скопировать.

Как тогда получить этот файл? Сделать это можно несколькими способами:

    если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана

  • если есть цифровая копия накопителя или же сам файл — просто копируем файл или работаем с ним напрямую.
  • Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreFilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования).

    Читайте также:
    Оформление Windows 10, 8.1 и Windows 7 в Rainmeter

    На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.

    Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.

    Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:

    Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

    Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.

    А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.

    Идем в поля

    Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?

    В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.

    Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.

    При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.

    Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.

    В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):

    Читайте также:
    Удаленный рабочий стол LiteManager Free — мощное средство для управления компьютером через Интернет и LAN

    В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:

    Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.

    А что еще?

    Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

    В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):

    Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).

    Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):

    И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.

    Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:

    • sekurlsa::logonPasswords — извлечение логинов и паролей учетной записи
    • token::elevate — повышение прав доступа до SYSTEM или поиск токена администратора домена
    • lsadump::sam — получение SysKey для расшифровки записей из файла реестра SAM
    • log Result.txt — файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):

    Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys:

    На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:

    Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.

    В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.

    Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.

    Ниже несколько примеров того, что обнаружили специалисты:

    Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).

    Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец).
    Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:

    В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.

    Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:

    Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:

    А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

    Pagefile.sys — что это такое? Как удалить или перенести его?

    Здравствуйте Друзья! В этой статье мы разберемся что есть — Pagefile.sys, как его удалить, изменить или перенести на другой диск. По мере освоения компьютера пользователю попадается на глаза этот скрытый файл в корне системного диска. И так как этот файл занимает гигабайты свободного пространства, то появляется закономерный вопрос. — А что это за файл и для чего он нужен и нужен ли он мне вообще? После того как пользователь узнает об этом файле ему становится необходимо управлять им. Удалять, изменять размер или переносить на другой диск. Как это все делать вы узнаете в этой статье. Если кому нужно быстро, то посмотрите видео в конце статьи.

    2_07_2014. Важно! Прочитайте пожалуйста всю статью и особенно заключение, а после настраивайте Pagefile.sys.

    Структура статьи

    1. Pagefile.sys — что это такое?
    2. Как удалить Pagefile.sys?
    3. Как изменить Pagefile.sys?
    4. Как перенести Pagefile.sys на другой диск?

    1. Pagefile.sys — что это такое?

    Pagefile.sys — это файл подкачки операционной системы Windows. Так же часто его называют виртуальной памятью. Это тот самый файл, который приходит на помощью когда в системе заканчивается оперативная память. В эти критические моменты, чтобы компьютер не зависал, а хоть и медленно, но продолжал работать, система обращается за поддержкой к этому файлу.

    В него Windows сбрасывает все то, что не помещается в данный момент в оперативной памяти. Из всего содержимого памяти выбирается то, что менее используется или использовалось давно (то есть информация которая скорее всего будет наименее востребована по крайней мере в ближайшее время) и записывается в файл Pagefile.sys, освобождая тем самым место для используемой информации в данный момент.

    Это дает следующие преимущества. Система может использовать больше «оперативной» памяти, чем установлено в компьютере, а пользователь, соответственно, сможет запускать сколько нужно приложений и при этом система не зависнет. С огромной вероятностью, компьютер будет тормозить, но зависнуть не должен.

    То есть это резерв, если вам нужно иногда выполнять ресурсоёмкие задачи, такие как конвертирование видео или просто поиграть в современную игру. Почему написал — иногда, потому, что компьютер, как уже говорил, будет тормозить и удовольствия от такой работы или игры вы скорее всего не получите.

    Почему же компьютер тормозит при использовании файла подкачки. Потому что увеличивается нагрузка на жесткий диск вашего компьютера. Ему необходимо работать и за себя и за оперативную память. Сие приводит не только к потери нервных клеток пользователя, но и к сокращению ресурса работы HDD. Поэтому, если вы почувствовали, что крепко используете Pagefile.sys, то задумайтесь над увеличением оперативной памяти вашегокомпьютера. Как это сделать можно прочитать и посмотреть тут. После увеличения ОЗУ этот файл можно будет удалить без каких-либо последствий.

    2. Как удалить Pagefile.sys?

    В Windows 7 и Windows 8 это делается следующим образом. Переходите по следующему пути

    Пуск > Панель управления > Система и безопасность > Система

    Слева выбрать Дополнительные параметры системы

    В открывшемся окне Свойства системы в поле Быстродействие нажимаем Параметры…

    Открывается окошко Параметры быстродействия. Переходите на вкладку Дополнительно и нажимаете Изменить…

    Далее в открывшемся окошке Виртуальная память в поле Размер файла подкачки для каждого диска выбираем раздел, на котором у вас располагается Pagefile.sys — 1. Выбираем Без файла подкачки — 2. Нажимаем кнопку Задать -3.

    Если у вас файл подкачки находится на нескольких дисках, тоже самое делаем и с другими разделами

    Когда напротив каждого диска у вас будет в столбце Файл подкачки значение «Отсутствует» (как у рисунке выше) нажимаете ОК — 4.

    Теперь для окончательного удаления Pagefile.sys необходимо перезагрузить компьютер.

    3. Как изменить Pagefile.sys?

    Обычно требуется увеличить файл Pagefile.sys. Делается это в том же окошке Виртуальная память. Выбираем диск на котором у вас расположен файл подкачки -1. Если вы не знаете сколько вам нужно виртуальной памяти, то выбираете Размер по выбору системы -2. Нажимаете Задать -3 и ОК -4.

    После этих манипуляций система сама будет следить за файлом Pagefile.sys и при необходимости его увеличит.

    Если вы хотите сами задать определенные значения для файла подкачки, чтобы в процессе работы Windows его не трогала (в момент изменения файла Pagefile.sys система будет тратить свои ресурсы и возможно будут наблюдаться некоторые тормоза), необходимо задать точный размер.

    Выбираете Указать размер — 2. Далее необходимо указать Исходный и максимальный размер -4. Операционная система Windows подсказывает вам (3) что рекомендуется задавать минимальный размер в полтора раза больше установленного объема оперативной памяти. Пишем в Исходный размер, то что рекомендует система. В максимальный размер можно задать любое значение больше исходного. Мне кажется, что целесообразно задавать в два раза больше вашей оперативной памяти. (Если у вас есть другие рекомендации напишите пожалуйста в комментариях). После указания исходного и максимального размеров Pagefile.sys нажимаем Задать -5 и ОК -6

    2_07_2014. На рисунке выше показан принцип изменения файла Pagefile.sys. И здесь есть одна ошибка (Иван спасибо). Я задаю Максимальный размер больше чем у меня имеется свободного места. Это в корне неправильно. Должно быть на системном диске не менее 15% свободного места. Подробнее читайте в заключении.

    Вот таким образом можно изменить файл подкачки.

    4. Как перенести Pagefile.sys на другой диск?

    Перенос Pagefile.sys на другой диск может быть вызван нехваткой места на системном разделе. И самый простой способ резко его увеличить — переместить файл подкачки. Для этого в том же окошке Виртуальная память удаляем файл подкачки на диске С. Затем выбираем любой другой (не системный) раздел. Например E (желательно чтобы на нем было достаточно свободного места, гигабайт 50 хотя бы). Затем или задаете точный исходный и максимальный размер или устанавливаете размер Pagefile.sys по выбору системы — 2. Нажимаете Задать — 3 и ОК — 4.

    После, необходимо перезагрузить компьютер для вступления изменений в силу.

    Заключение

    02_07_2014. Основная мысль следующая. На системном диске должно быть не менее 15% свободного места иначе не будет полностью выполняться дефрагментация и, следовательно, немного снижена быстродействие системы. То есть у вас с максимальным размером файла Pagefile.sys должно оставаться не менее 15% свободного пространства на диске. Если желаемый размер файла подкачки не влезает на системный диск, то необходимо оставить минимум 200 МБ файла подкачки на диске С (это необходимо для записи дампов памяти, которые в свою очередь помогут в анализе синих экранов смерти), а все остальное место для файла подкачки выделить на другом разделе. То есть у вас файл подкачки будет на двух или более дисках.

    Для поднятия уровня производительности своего компьютера можно использовать технологию ReadyBoost при условии наличия ненужной флешки.

    Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!

    Как удалить Файл подкачки – Pagefile.sys в Windows 10

    Публикация: 21 November 2019 Обновлено: 21 November 2019

    Пользователи ПК часто спрашивают, для чего нужен огромный файл pagefile.sys, расположенный в корне установочного диска Windows, и можно ли его удалить.

    Начнем с того, что файлы подкачки работают как физическое расширение оперативной памяти. Windows 10 перемещает редко или наименее используемые страницы памяти из оперативной памяти ОЗУ в файл подкачки pagefile.sys, когда физическое использование ОЗУ очень велико. Pagefile .sys играет еще одну важную роль. Он записывает информацию о состоянии Windows во время сбоя.

    Файл подкачки, или виртуальная память — это системный файл на диске, который система использует, чтобы устранить дефицит оперативной памяти (ОЗУ), если программе или игре ее не хватает.

    Могу ли я удалить файл Файл подкачки (pagefile.sys)?

    На компьютерах с большим объёмом оперативной памятью Windows 10 может не использовать файл подкачки, поскольку физической памяти может быть достаточно для всех операций. Если у вас на компьютере объем ОЗУ (16 ГБ +), и вы уверены, что программы не будут занимать всю физическую память, вы можете удалить файл pagefile.sys. Короче говоря, чем больше у вас оперативной памяти, тем меньше вам нужно pagefile.sys.

    Что произойдет, если я удалю pagefile.sys?

    Ну, вы не увидите никакой разницы, если использование физической памяти находится в допустимых пределах. Если использование оперативной памяти достигнет 100%, программы могут зависать или подтормаживать, и вы можете потерять не сохраненный процесс. Поэтому без необходимости лучше не трогать файл pagefile.sys.

    Так как pagefile.sys – скрытый системный файл, он не отображается с настройками по умолчанию. Чтобы увидеть его вам придётся включить опцию «Показать скрытые файлы, папки или диски» и снять чекбокс в пункте «Скрывать защищенные системные файлы».

    Как и другие системные файлы, вы не можете просто удалить файл pagefile.sys напрямую из Проводника Windows. Чтобы удалить файл pagefile.sys, Вам необходимо отключить функцию файла подкачки. То есть отключение функции файла подкачки автоматически удалит файл pagefile.sys.

    ВАЖНО! Отключение файла подкачки или удаление файла pagefile.sys может отрицательно повлиять на общую производительность операционной системы Windows 10. Если вы обнаружите, что Windows 10 не работает должным образом после отключения и удаления файла, снова включите файл подкачки.

    Выполните приведенные ниже шаги, чтобы отключить и удалить pagefile.sys в Windows 10.

    Шаг 1: Введите Sysdm.cpl в поле поиска «Пуск / панель задач» или в строку меню Выполнить, а затем нажмите клавишу Enter , чтобы открыть диалоговое окно «Свойства системы».

    Шаг 2: Переключитесь на вкладку «Дополнительно», нажав на нее. В разделе «Быстродействие» нажмите кнопку «Параметры». При нажатии на кнопку откроется диалоговое окно «Параметры быстродействия».

    Шаг 3: Перейдите на вкладку «Дополнительно». В разделе Виртуальная память вы можете увидеть размер файла подкачки. Нажмите кнопку «Изменить…», чтобы открыть диалоговое окно «Виртуальная память».

    Шаг 4: Чтобы отключить и удалить файл подкачки, снимите флажок «Автоматически выбирать объём файла подкачки». Затем выберите переключатель «Без файла подкачки». Нажмите кнопку «Задать». Нажмите кнопку «Да», когда откроется диалоговое окно с предупреждением. Наконец, нажмите кнопку «Применить».

    Когда вас попросят перезагрузить компьютер, перезагрузите компьютер один раз, чтобы удалить файл pagefile.sys. Обязательно перезагрузите компьютер.

    Чтобы включить файл pagefile.sys

    Шаг 1: Следуйте указаниям, упомянутым в шагах 1, 2, 3 и 4 описанного выше способа, чтобы открыть диалоговое окно виртуальной памяти.

    Рейтинг
    ( Пока оценок нет )
    Понравилась статья? Поделиться с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: