Lire le fichier pagefile.sys

**Assimil** · 06/04/2008, 20h24

Bonjour à tous.

Voilà, je cherche depuis un petit moment comment lire ce que contient le fichier pagefiles.sys, mais je ne trouve rien de bien probant.

Existe-t-il un liveCD sous linux ou BartPE qui contiendrait les outils nécessaire pour ce genre d'opérations ?

Ou peut on trouver des ressources (tutos, informations, logiciels...) sur ce genre d'opérations ?

Optionnelement, je voudais aussi pouvoire le faire sur des partitions swap Linux.

Merci d'avance pour votre aide.

PS : pour ceux qui se demande pourquoi je veux faire ça, dites vous que c'est une question de culture. Je lit partout qu'il faut faire gaffe au swap, le vider, l'effacer pour éviter que quelqu'un puisse y récupérer des trucs dedans, mais nul part je ne trouve comment faire pour récupérer effectivement des trucs dedans, et ça pique ma curiosité.

**Louis-Guillaume Morand** · 07/04/2008, 09h24

déjà, premiere chose à savoir, le fichier pagefile est en read only tant que le système tourne donc effectivement, tu peux que le lire depuis un autre OS (sauf en utilisant un outil dédié qui bypass la protection : http://ieeexplore.ieee.org/Xplore/lo...+Lim%2C+Jongin)

ensuite, il contient des infos mémoire comme le login que tu utilise dans une application mais aussi 10millions de variables dont tu n'as rien à faire.

enfin, quand les programmes sont fermés, toutes els infos ne restent pas en mémoire ni même dans le pagefile donc pour les histoires de hacking via la pagefile...

pour te répondre quand meme car une fois que tu l'auras ouvert, tu voudras pas aller plus loin, je te conseil de lire cet article
http://www.forensics-intl.com/def7.html

**Assimil** · 07/04/2008, 22h30

Merci pour ta réponse

Pour toutes les infos que tu me donnes sur le fichier, j'étais déjà au courant, par contre, merci beaucoup pour les liens, je les étudierais quand j'aurais un peut de temps (j'ai un peut du mal à lire l'anglais, il me faut plus de temps, et il me faut beaucoup de calme)

Sinon, non seulement j'ai l'intention d'ouvrir ce fichier, mais en plus, j'ai bien l'intention d'aller plus loin, et d'être capable de naviguer dedans, y trouver des infos, etc., etc...

Il me semble que ce genre de compétence est assez intéressante à acquérir.

Un truc qui me faciliterait la vie, par contre, ce serait un genre d'explorateur de pagefile.sys, qui serait capable d'afficher les différentes informations, fichiers, etc...
Le mieux serait qu'il tourne sous Linux, ça me permettrait de l'intégrer facilement à un live CD, sinon, même sous Windows, y'aura bien moyens de l'intégrer à un BaretPE (je l'ai déjà fait pour un easy recovery, ça serait cool d'ajouter aussi ce genre de logiciel !)

Autre question : je sais que quand on manipule les fichiers avec GPG, on est obligé de les décrypter pour les lires, et que forcément, ils se retrouvent en claire dans le pagefile.sys si Windows décide de les swaper. Mais je voulais savoir si il était de même pour tout ce qui est décrypté à la volé, notamment les fichiers qui se trouvent sur un volume TrueCrypt, et les fichiers crypté avec la fonction de cryptage intégré à Windows

Sinon, pas de piste pour la swap de linux ?

Merci d'avance pour vos réponses

**Louis-Guillaume Morand** · 07/04/2008, 22h54

Il me semble que ce genre de compétence est assez intéressante à acquérir.

dans quel but? je veux dire, à part pour la curiosité perso, je pense pas que ca t'aide vraiment. Maintenant moi de mon côté, j'ai creusé dans plein de recoins de Windows sans aucun but donc à la limite je peux comprendre ta curiosité

si Windows décide de les swaper.

c'est là ton soucis car tu n'as aucun contrôle dessus.
je ne vois vraiment pas la finalité de la chose en plus. pour truecrypt ou autre, il faut que le système soit en marche et donc il te faut en même temps booter sur un cd et accéder le pagefile.sys qui pourrait être bloqué en lecture.

**Assimil** · 08/04/2008, 21h52

Envoyé par Louis-Guillaume Morand

dans quel but?

En savoir plus. Toujours plus.

Envoyé par Louis-Guillaume Morand

C’est là ton soucis car tu n'as aucun contrôle dessus.
je ne vois vraiment pas la finalité de la chose en plus. pour truecrypt ou autre, il faut que le système soit en marche et donc il te faut en même temps booter sur un cd et accéder le pagefile.sys qui pourrait être bloqué en lecture.

Pas forcément puisque Windows n'efface pas le contenu du fichier automatiquement. Résultat, on peut très bien arriver sur un PC éteins, booter sur un live CD, puis inspecter la swap avec l'espoir d'avoir un coup de chance et de trouver un truc croustillant...

On peut aussi, par exemple, débrancher une machine sur laquelle on détecte une intrusion, puis, chercher des éléments en plus dans la swap pour l'analyse post mortem...

Enfin, de toute façon, je vois plein de raison de savoir faire ça.
De plus, un disque dur n'étant pas de la ram, et le contenu du fichier pagefile.sys n'étant pas effacé par Windows tant qu'il n'en éprouve pas le besoin, y'auras forcément toujours quelque chose à se mettre sous la dent dedans

Apres, on peut parler pendant longtemps du pourquoi du comment, du à quoi ça sert, mais ce n'est pas l'objet de mes questions, qui restent les même :

- Existe t il des logiciel qui permettent de lire dans ce fichier et d'en explorer le contenu (quelque soit la manière, live CD ou pas) ?
- Quand des fichiers ou des infos chiffrées par truecrypt ou la fonction de chiffrement de Windows sont swappé, sont-ils swappé en claire ou pas ?

Lire le fichier pagefile.sys

Windows

Discussions similaires

Partager

Partager