วัตถุประสงค์ของ“ C: \ swapfile.sys” ใน Windows 8 คืออะไร

บน Windows 8 มีไฟล์สองไฟล์ต่อไปนี้ใน C: \

1. pagefile.sys - ไม่แปลกใจ มันใหญ่เท่าที่ฉันกำหนดค่าเป็นขนาดไฟล์ของหน้า
2. swapfile.sys - มีขนาด 256MB

swapfile.sysไฟล์เพิ่มเติมนี้มีวัตถุประสงค์อะไร?

ฉันกำลังมองหาคำตอบที่มีสิทธิ์ในเรื่องนี้ มีการเก็งกำไรมากพอเกี่ยวกับเรื่องนี้บนเว็บ

ลิงก์จำนวนมากที่อยู่นอกคำตอบที่โพสต์นั้นจบลงด้วยการลิงก์ แต่http://blogs.technet.com/b/askperf/archive/2012/10/28/windows-8-windows-server-2012-the-new -swap-file.aspx

ดูเหมือนจะเป็นคำตอบที่ชัดเจนมากขึ้น:

คุณอาจถามว่า“ ทำไมเราต้องการไฟล์หน้าเสมือนอีกอัน” ด้วยการแนะนำแอพ Modern เราจำเป็นต้องมีวิธีจัดการหน่วยความจำนอกเมธอด Virtual Memory / Pagefile แบบดั้งเดิม ด้วยเหตุนี้“% SystemDrive% \ swapfile.sys” จึงเกิดขึ้น

Windows 8 สามารถเขียนชุดการทำงานทั้งหมด (ส่วนตัว) ของแอพ Modern ที่ถูกระงับไปยังดิสก์เพื่อเพิ่มหน่วยความจำเพิ่มเติมเมื่อระบบตรวจพบความกดดัน กระบวนการนี้คล้ายคลึงกับการจำศีลแอพที่เฉพาะเจาะจงและกลับมาทำงานต่อเมื่อผู้ใช้สลับกลับไปที่แอพ ในกรณีนี้ Windows 8 ใช้ประโยชน์จากกลไกการหยุดชั่วคราว / กลับสู่การทำงานของแอปสมัยใหม่เพื่อล้างข้อมูลหรือตั้งค่าชุดการทำงานของแอปใหม่อีกครั้ง

จากพนักงานไมโครซอฟท์ในฟอรั่ม Technet

นี่เป็นไฟล์เพจชนิดพิเศษที่ใช้ภายในโดยระบบเพื่อให้การดำเนินการเพจบางประเภทมีประสิทธิภาพมากขึ้น ไม่เกี่ยวข้องกับการตั้งค่าการถ่ายโอนข้อมูลอัตโนมัติ

การระงับ / เรียกคืนแอพสไตล์เมโทรเป็นสถานการณ์สมมติหนึ่งอาจมีคนอื่น ๆ ในอนาคต

ในขณะที่ฉันไม่แน่ใจว่าจุดประสงค์ของมันคืออะไรดูเหมือนว่ามันถูกใช้เพื่อจัดเก็บ / แคชเนื้อหาที่ใช้งานอยู่ในปัจจุบัน

หากคุณอยากรู้ว่ามีอะไรอยู่ข้างในคุณสามารถรับไฟล์ที่ถูกล็อคเช่นswapfile.sysหรือpagefile.sysจากระบบที่ใช้ Windows โดยใช้FGET(Forensic Get by HBGary)

เรียกใช้คำสั่งต่อไปนี้ (ในฐานะผู้ดูแลระบบ):

FGET -extract% systemdrive% \ swapfile.sys OUTPUT_PATH

Stringsหลังจากที่คุณสามารถดำเนินการวิเคราะห์โดยใช้สตริง ภายในswapfile.sysบนระบบของฉันเหนือสิ่งอื่นใดที่ฉันพบ:

ที่อยู่อีเมลของฉัน, อีเมลและที่อยู่อีเมลหลายตัว, ตัวแปรสภาพแวดล้อม, เนื้อหาบางส่วนจากหน้าเว็บที่ฉันเข้าชม, สตริงชนิดต่างๆ, สตริงตัวแทนผู้ใช้, ไฟล์ XML, URL, ที่อยู่ IP, ชื่อผู้ใช้, ชื่อฟังก์ชันไลบรารี, การตั้งค่าแอปพลิเคชัน

ฉันพยายามแกะสลักไฟล์เพื่อค้นหารูปแบบภาพทั่วไปและพบ JPEG และ PNG หลายอันประกอบด้วยไอคอนแอปพลิเคชันทรัพยากรหน้าเว็บรูปภาพโปรไฟล์หลายรายการทรัพยากรรูปภาพจากแอพ Metro ฯลฯ

ifind -n /swapfile.sys \\. \% systemdrive%

เมื่อคุณมีหมายเลขไอโหนดคุณสามารถดึงไฟล์โดยใช้icatดังต่อไปนี้:

icat \\. \% systemdrive% INODE_NUMBER> OUTPUT_PATH

ตัวอย่างเช่น:

C: \> ifind -n /swapfile.sys \\. \% systemdrive%
1988

C: \> icat \\.% systemdrive% 1988>% systemdrive% \ swapfile.dmp

หมายเหตุ:คุณต้องเรียกใช้คำสั่งทั้งสองจากพรอมต์คำสั่งยกระดับ (เช่นทำงานcmdในฐานะผู้ดูแลระบบ)