Winpepge sys что за файл
Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.
В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Часть 1. Что скрывают pagefile.sys
Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.
Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.
Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.
Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:
| Hidden | True | Owner SID | S-1-5-32-544 |
| System | True | Owner Name | Администраторы |
| Read Only | False | Group SID | S-1-5-18 |
| Archive | True | Group Name | SYSTEM |
Видно, что это скрытый системный файл, который так просто не скопировать.
Как тогда получить этот файл? Сделать это можно несколькими способами:
На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.
Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.
Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:
Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.
Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.
А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.
Идем в поля
Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?
В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.
Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.
При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.
Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.
В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):
В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:
Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.
А что еще?
Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.
В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):
Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).
Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):
И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.
Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:
Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys:
На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:
Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.
В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.
Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.
Ниже несколько примеров того, что обнаружили специалисты:
Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).
Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец).
Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:
В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.
Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:
Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:
А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.
Winpepge sys что за файл
Теоретически можно. Операционная система Windows может работать и без файла Pagefile.sys. Но, делать этого не стоит. Дело в том, что без файла подкачки компьютер станет более уязвимым к различным зависаниям и ошибкам. Если программы израсходуют всю оперативную память, а файл Pagefile.sys будет удален, то компьютер может зависнуть или программы начнут вылетать и сообщать об ошибках.
Но, если решительно настроены попробовать, как компьютер будет работать после удаления Pagefile.sys, то вы можете это сделать. Для удаления файла Pagefile.sys вам сначала нужно нажать комбинацию клавиш Windows+Pause/Break и в открывшемся окне перейти в раздел «Дополнительные параметры системы».
После этого нужно перейти на вкладку «Дополнительно» и нажать на кнопку «Параметры» в блоке настроек «Быстродействие».
Дальше снова открываем вкладку «Дополнительно» и нажимаем на кнопку «Изменить» в блоке настроек «Виртуальная память».
Таким образом вы откроете окно с настройками файла Pagefile.sys. Если вы хотите удалить файл Pagefile.sys, то здесь нужно отключить «Автоматически выбирать объем файла подкачки», выбрать вариант «Без файла подкачки» и нажать на кнопку «Задать».
Дальше нужно закрыть все окна нажатием на кнопку «Ок» и перезагрузить компьютер. В результате этих действий файл Pagefile.sys будет удален с системного диска.
Как освободить место, занимаемое Pagefile.sys?
Если у вас трудности со свободным местом на системном диске, то вы можете освободить место, которое занимает файл Pagefile.sys, при это не удаляя его. Делается это при помощи переноса файла на другой диск.
Для этого нужно открыть окно с настройками файла Pagefile.sys, так как это описано выше. После этого нужно отключить функцию «Автоматически выбирать объем файла подкачки», выбрать системный диск, выбрать «Без файла подкачки» и нажать на кнопку «Задать». Таким образом вы удалите файл Pagefile.sys с системного диска.
После того, как файл Pagefile.sys удален с системного диска, его нужно создать на любом другом диске. Для этого нужно выбрать другой диск, указать размер файла подкачки либо задать размер по выбору системы и нажать на кнопку «Задать».
Дальше нужно закрыть все окна нажатием на кнопку «Ок» и перезагрузить компьютер. В результате этих манипуляций файл подкачки будет перенесен с системного диска на тот диск, который вы выбрали.
Нужно отметить, что для максимальной скорости работы файл Pagefile.sys нужно размещать на самом быстром из ваших дисков. Поэтому если у вас система установлена на SSD диск, то переносить файл подкачки на обычный жесткий диск не целесообразно. В этом случае вы много потеряете в скорости работы.
Установка ограничения на размер файла подкачки
Чтобы получить доступ к соответствующим настройкам, нужно ввести слово «Дополнительно» в строке поиска панели управления, затем выбрать «Просмотреть расширенные настройки системы». В разделе «Производительность» нужно нажать «Настройки».
Далее в открывшемся новом окне следует перейти на вкладку «Дополнительно», найти раздел «Виртуальная память» и нажать «Изменить».
В окне «Виртуальная память» нужно снять флажок «Автоматически управлять размером файла подкачки на каждом диске», после чего выбрать опцию «Нестандартный размер». В поле «начальный размер» следует задать значение не менее 800 МБ.
В поле «Максимальный размер» нужно ввести желаемый верхний предел для размера файла подкачки. Следует помнить, что 1 ГБ = 1024 МБ, поэтому, например, чтобы получить максимальный размер 8 ГБ, в настройках надо указать 8 192 МБ.
Чтобы подтвердить сделанные изменения, нужно нажать кнопку «Установить».
Виртуальная память является Файловая система (pagefile.sys) Вот WinXP использует для хранения данные или файлов, которые используются пользователями одновременно. Обычно размер pagefile.sys определяется тем, как Оперативная память установлен в компьютер (512MB оперативной памяти, файла подкачки будет 768MB в 1GB оперативной памяти, файла подкачки будет 1,5GB и т.д.), но это может быть увеличен или уменьшен для каждого пользователя отдельно, по мере необходимости. С pagefile.sys существующий файл винчестерИ жесткий диск магнитные устройства хранения данных — В отличие от оперативной памяти, которая является динамический — Данные, хранящиеся в виртуальной памяти остаются там, пока они не будут удалены или переписать выше их, и эти данные могут содержать Информация sesibile для пользователей, такие как различные пароли (Многие приложения имеют привычка отправлять информацию в памяти без установки шифроватьДаже если она может достигать файл подкачки, где он может быть извлечен при определенных условиях), либо из-за перегрузки данных в pagefile.sys, может произойти, когда ОС Windows запускается различные ошибки si производительность системы влияет. Чтобы избежать этих проблем, рекомендуется виртуальная очистка памяти Периодически, как можно чаще.
Как мы можем очистить pagefile.sys автоматически каждый раз, ОС Windows Shutdown
1. использование Редактор реестра
2. использование Редактор групповой политики (Этот метод не подходит для издания Windows Starter или Windows Home)
3. использование Microsoft Fixit (Скачать и запустить исполняемый файл)
Примечание: Включение автоматической очистки виртуальной памяти каждый раз, когда ОС Windows Shutdown Завершение работы растет примерно на
30 сек. 7 протестирован на уроке Windows Ultimate, совместимый с XP или Vista.
Как очистить виртуальную память (pagefile.sys) при каждом выключении компьютера
Pagefile.sys – это файл подкачки. Он предназначается для временного хранения информации, если она не может поместиться в оперативной памяти компьютера. Очистить подобный файл можно стандартными средствами ос Microsoft Windows. И вам даже не понадобится дополнительное программное обеспечение.
Нажмите кнопку «пуск» для вызова главного меню ос Microsoft Windows, чтобы провести очистку файла подкачки pagefile.sys во время перезагрузки. Выберите пункт «Выполнить».
В поле «Открыть» впишите значение regedit. Для подтверждения выполнения команды запуска инструмента «Редактор реестра» требуется нажать кнопку «ОК».
Далее необходимо раскрыть ветку реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session. Нужно значение параметра ClerPageFileАtShutdown изменить на 1 или создать недостающий параметр со следующим значением: – имя – ClearPageFileAtShutdown; – тип значения – REG_DWORD; – значение – 1.
Теперь возвращайтесь в главное меню «Пуск», откуда можно выполнить операцию очистки файла подкачки pagefile.sys другим способом. Откройте пункт «Мой компьютер».
Для открытия пункта «Администрирование» следует раскрыть ссылку «Панель управления».
А затем разворачивайте узел «Локальная политика безопасности» => «Параметры безопасности».
Дважды щёлкните по полю сервисного меню политики «Очистка страничного файла виртуальной памяти» для его открытия. Установите флажок для поля «Включен».
Далее необходимо подтвердить выполнение этой команды – кликните по кнопке «ОК». Следующий шаг – завершение работы инструмента «Редактор групповых политик».
Загружать вашу ос следует в режиме восстановления. Это необходимо для перезаписи файла подкачки pagefile.sys, который не отображается в консоли по причине программной ошибкой Windows. В текстовое поле интерпретатора команд необходимо ввести значение cd \.
Выполнение данной команды подтверждайте путём нажатия функциональной клавиши Enter. Далее в тестовое поле командной строки требуется вписать значение copy имя_диска:\boot.ini pagefile.sys.
Снова подтверждайте выполнение команды (в данном случае, создания копии) нажатием функциональной клавиши Enter. Теперь вводите в текстовое поле интерпретатора следующее значение: del pagefile.sys.
Ещё раз нажмите функциональную клавишу Enter, чтобы подтвердить выполнение назначенной команды. Выходите из режима восстановления.
Что это за файл?
В Windows есть так называемые файлы подкачки. Они используются, когда не хватает оперативной памяти для какой-то операции. Это некое виртуальное хранилище — место, которое зарезервировано для нужд Виндовс. Благодаря ему ОС продолжает работать при перегрузке, а не зависает.
Pagefile — именно такой резерв. По умолчанию он весит 1 Гигабайт. Но размер можно менять.
При обращении к подкачке Windows немного тормозит, так как винчестер, помимо своих основных функций, выполняет «работу» оперативной памяти. С Pagefile.sys вы сможете запускать программы, которые требуют большое количество ресурсов: игры, графические редакторы, утилиты для видеомонтажа или моделирования, различные профессиональные и другие масштабные приложения.
Если файл удалить или изменить размер, уменьшится общая производительность. Процессы, которым не хватит RandomAccessMemory, будут закрываться или напрочь зависать. В худшем случае — произойдёт экстренное выключение ПК. Поэтому не стоит трогать этот объект без причины.
Если вы всё равно решили узнать, можно ли удалить Pagefile.sys, не делайте этого напрямую. Не перемещайте его в корзину и не стирайте при помощи клавиши Delete. Избавляться от него надо через настройки.
Как удалить или сжать?
Если у вас много RAM, то подкачка будет лишней. Зачем выделять место для хранилища, если вы им не пользуетесь? В таком случае можно сжать или вовсе удалить ненужный объект. Это делается через настройки. Если вы вручную его сотрёте, перенесёте или заархивируете, возникнут серьёзные проблемы.
Вот как уменьшить размер Pagefile.sys:
Нажимаем на «Дополнительные параметры системы»
Настройка «Виртуальной памяти»
Как перенести или создать для другого диска?
Pagefile.sys необязательно убирать, если он занимает слишком много места на системном диске. И даже не надо менять размер. Объект можно воссоздать в другом разделе (хотя перед этим его придётся удалить). Главное, чтобы он всегда был доступен. То есть не надо его перетаскивать на съёмные носители, флешки или другие внешние хранилища. Лучше поместить его на логическом диске вашего основного винчестера.
Теперь вы знаете, что такое Pagefile.sys, как удалить или уменьшить его. Но делайте это только в крайнем случае. Ведь без файла подкачки ПК будет очень часто зависать. Если он вам мешает, лучше его поместить в другое место.
Как отрегулировать размер файла подкачки pagefile.sys
Файл pagefile.sys – это виртуальная память Windows.
Вопреки распространенному мнению, файл подкачки нужен не только для компенсации нехватки оперативной памяти. Виртуальная память необходима для работы таких функций Windows, как SuperFetch, ReadyBoost и создание аварийных дампов памяти при ошибках BSOD (синие экраны). Для нормальной работы этих функций файл подкачки должен располагаться на разделе, где установлена Windows (обычно — диск C) и размер этого файла должен быть не меньше объема физической оперативной памяти (RAM).
Настройка файла подкачки
В Windows 7, как и во всех предыдущих версиях Windows, вы можете легко уменьшить или увеличить размер файла подкачки.
1. Войдите в Windows 7 с правами администратора.
3. В левом меню выберите Дополнительные параметры системы.
4. На вкладке Дополнительно в разделе Быстродействие нажмите кнопку Параметры.
5. Откройте вкладку Дополнительно и в разделе Виртуальная память нажмите кнопку Изменить.
6. Снимите флажок Автоматически выбирать объем файла подкачки.
7. Выберите диск, на котором хотите изменить размер файла подкачки.
8. Выберите переключатель Указать размер, введите в поля Исходный размер (МБ) и Максимальный размер (МБ) новые размеры в мегабайтах, нажмите кнопку Задать, а затем – ОК.
Чтобы удалить pagefile.sys, выберите в пункте 8 переключатель Без файла подкачки и нажмите Задать, затем – ОК. В этом случае, скорее всего, потребуется перезагрузка компьютера для вступления изменений в силу.
Проблема с созданием временного файла подкачки
Периодически у некоторых пользователей возникает известная проблема, когда сразу после запуска Windows открываются Параметры быстродействия и появляется сообщение:
Создан временный файл подкачки, поскольку при запуске была обнаружена неполадка в конфигурации файла подкачки. Общий объем файла подкачки для всех дисков может быть несколько больше указанного вами размера.
К счастью, мне удалось ее решить.
Причина
Windows создает временный файл подкачки, когда внесенные пользователем изменения в Панель управления > Система > Дополнительно > Быстродействие > Дополнительно > Виртуальная память некорректно вносятся в реестр Windows. Конкретно, не изменяется значение мультистрокового параметра ExistingPageFiles в разделе:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Если восстановить корректные значения всех параметров реестра, отвечающих за конфигурацию pagefile.sys, то со следующей перезагрузки временный файл подкачки создаваться перестанет и вы снова сможете настраивать виртуальную память обычным способом — в Параметрах быстродействия. Если проблема с временным файлом подкачки повторится через некоторое время, то восстановите корректные значения соответствующих параметров реестра снова.
Параметры реестра, конфигурирующие файл подкачки
Нижеперечисленные параметры находятся в разделе:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Примеры правильных значений
Пример 1. Если вы создали на разделе C файл подкачки с минимальным (исходным) размером 1 гигабайт (1024 мегабайта) и максимальным размером 2 гигабайта (2048 мегабайт), то:
параметр ExistingPageFiles получит значение:
\??\C:\pagefile.sys
параметр PagingFiles получит значение:
c:\pagefile.sys 1024 2048
параметр TempPageFile получит значение 0 или будет отсутствовать.
Пример 2. Если у вас два файла подкачки: 100 мегабайт на диске C и 200 мегабайт на диске D, то:
параметр ExistingPageFiles получит значение:
\??\C:\pagefile.sys
\??\D:\pagefile.sys
параметр PagingFiles получит значение:
c:\pagefile.sys 100 100
d:\pagefile.sys 200 200
параметр TempPageFile получит значение 0 или будет отсутствовать.
Пример 3. Если файл подкачки полностью отключен на всех дисках, то:
параметр PagingFiles получит пустое значение (две пустые строчки);
параметр ExistingPageFiles будет отсутствовать;