33. Memoria PageFiles.sys

 ¿Sabías que Windows utiliza un archivo especial para gestionar la memoria de tu equipo? Se llama PageFile.sys, y actúa como un complemento esencial para la memoria RAM.

🧠 ¿Qué es el PageFile.sys?

Es un archivo de paginación que Windows emplea para almacenar temporalmente datos intercambiados entre la memoria RAM y el disco duro. Su objetivo principal es ampliar la capacidad de memoria disponible, creando lo que conocemos como memoria virtual.

En clases anteriores ya hemos hablado sobre este archivo, pero hoy profundizaremos en su análisis forense.

🔍 ¿Cuándo actúa el fichero de paginación?

Antes de continuar, reflexionemos:
¿En qué situaciones entra en juego el PageFile.sys?
(La respuesta estará disponible al final del post).

🛠️ Análisis forense con FTK Imager

Vamos a acceder al PageFile.sys de una máquina encendida utilizando FTK Imager. Sigue estos pasos:

  1. Abre FTK Imager y selecciona "Add Evidence Item".

  2. Elige "Logical Drive" y luego la unidad principal (generalmente C:).

  3. Finaliza el proceso (en este ejemplo, lo cancelaremos para agilizar).

Una vez inicializado, buscamos el archivo en la raíz del sistema. Debemos localizarlo al final del listado:
¡Ahí está! → PageFile.sys

📥 Creación de una copia forense

El siguiente paso es realizar una copia personalizada de este fichero. Aunque en este caso cancelaremos el proceso, el procedimiento standard sería:

  • Extraer el archivo.

  • Guardarlo como imagen forense para su análisis.

🧩 Extrayendo información con Strings

Para analizar el contenido del PageFile.sys, usaremos la herramienta Strings. Sigue estos pasos:

  1. Abre el Símbolo del sistema (CMD).

  2. Navega al directorio donde se encuentra el ejecutable de Strings (ej: C:\Escritorio\Strings).

  3. Ejecuta el comando:

    cmd
    strings64.exe pagefile.sys > fichero_paginacion.txt

    Este proceso creará un archivo de texto con todo el contenido legible del PageFile.sys.

🔎 Buscando información relevante

Ahora podemos analizar el archivo generado. Por ejemplo, para buscar correos electrónicos:

cmd
findstr "gmail.com" fichero_paginacion.txt

O para encontrar contraseñas:

cmd
findstr "password" fichero_paginacion.txt > passwords.txt

📊 Resultados obtenidos

Al ejecutar estos comandos, encontramos:

  • Correos electrónicos (incluyendo algunos no identificados y el mío personal).

  • Posibles contraseñas y otros datos sensibles.

✅ Conclusión

El PageFile.sys no solo es crucial para el rendimiento del sistema, sino que también almacena información valiosa para investigaciones forenses. Con herramientas como FTK Imager y Strings, podemos extraer y analizar estos datos de manera efectiva.

💡 Respuesta a la pregunta inicial:
El fichero de paginación actúa cuando la memoria RAM está cerca de su límite, liberando espacio al mover datos temporales al disco duro. Esto previene fallos del sistema y permite ejecutar más aplicaciones simultáneamente.

¡Nos vemos en la próxima clase! 👨‍💻

¿Te gustaría que adapte este contenido para otra plataforma o formato?

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más