Sous Windows 8, les deux fichiers suivants se trouvent dans C:\.
Quel est le but de ce supplément swapfile.sys fichier ?
Je cherche une réponse faisant autorité à ce sujet. Il y a déjà suffisamment de spéculations à ce sujet sur le web.
De la part d'un membre du personnel de Microsoft à Forums Technet .
Il s'agit d'un type spécial de pagefile utilisé en interne par le système pour rendre certains types d'opérations de pagination plus efficaces. Il n'est pas lié au paramètre de vidage automatique.
La suspension/reprise des applications de style Metro est un scénario, il pourrait y en avoir d'autres à l'avenir.
Plusieurs des liens des réponses postées finissent par s'y connecter, mais http://blogs.technet.com/b/askperf/archive/2012/10/28/Windows-8-Windows-server-2012-the-new-swap-file.aspx
semble être une réponse plus définitive :
Vous vous demandez peut-être : "Pourquoi avons-nous besoin d'un autre fichier de pages virtuelles ?" Eh bien, avec l'introduction de l'App moderne, nous avions besoin d'un moyen de gérer leur mémoire en dehors de la méthode traditionnelle Mémoire Virtuelle/Fichier de Pages. C'est ainsi que le fichier "%SystemDrive%" a été créé. \swapfile.sys " est né.
Windows 8 peut efficacement écrire l'ensemble des données (privées) d'une application d'une application Modern suspendue sur le disque afin de gagner de la mémoire supplémentaire lorsque la le système détecte une pression. Ce processus est analogue à la mise en hibernation une application spécifique, puis de la reprendre lorsque l'utilisateur revient à l'application. l'application. Dans ce cas, Windows 8 tire profit du mécanisme de suspension/reprise des applications modernes pour vider ou repeupler l'ensemble des l'ensemble de travail d'une application.
Je ne sais pas exactement à quoi il sert, mais il semble qu'il soit utilisé pour stocker/cacher le contenu qui est actuellement utilisé.
Si vous êtes curieux de voir ce qu'il y a à l'intérieur, vous pouvez acquérir des fichiers verrouillés comme swapfile.sys o pagefile.sys à partir d'un système Windows en cours d'exécution en utilisant FGET (Forensic Get by HBGary).
Exécutez la commande suivante (en tant qu'administrateur) :
FGET -extract %systemdrive%\\swapfile.sys OUTPUT\_PATHAprès quoi, vous pouvez effectuer une analyse des chaînes de caractères en utilisant Strings . Sur swapfile.sys sur mon système, parmi d'autres choses que j'ai trouvées :
mon adresse e-mail, plusieurs e-mails et adresses e-mail, environnement variables d'environnement, contenu partiel de pages web que j'ai visitées, chaînes mimetype, chaînes d'agent utilisateur, fichiers XML, URL, adresses IP, noms d'utilisateur, noms de fonctions de bibliothèque, préférences d'application, chaînes de chemin, etc. préférences d'application, chaînes de chemin, etc.
J'ai aussi essayé sculpture du dossier pour rechercher les formats d'image courants et a trouvé plusieurs JPEG et PNG comprenant des icônes d'applications, des ressources de pages Web, plusieurs photos de profil, des ressources d'images d'applications Metro, etc.
Si FGET ne fonctionne pas pour vous, essayez d'utiliser ifind y icat de Le kit du limier . Vous pouvez trouver le numéro d'entrée MFT pour swapfile.sys en utilisant ifind comme suit :
ifind -n /swapfile.sys \\\\.\\%systemdrive%Une fois que vous avez le numéro d'inode, vous pouvez récupérer le fichier en utilisant icat comme suit :
icat \\\\.\\%systemdrive% INODE\_NUMBER > OUTPUT\_PATHPar exemple :
C:\\>ifind -n /swapfile.sys \\\\.\\%systemdrive%
1988
C:\\>icat \\\\.\\%systemdrive% 1988 > %systemdrive%\\swapfile.dmpNOTE : Vous devez exécuter les deux commandes à partir d'une invite de commande élevée (c'est-à-dire exécuter cmd en tant qu'administrateur)
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
