Pagefile sys windows xp

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

Pagefile sys windows xp
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс.

Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования.

Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки. Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности. Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт. Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager: Видно, что это скрытый системный файл, который так просто не скопировать. Как тогда получить этот файл? Сделать это можно несколькими способами:

  • если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана
  • если есть цифровая копия накопителя или же сам файл — просто копируем файл или работаем с ним напрямую.

Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования). На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.
Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО. Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова: Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем.

В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой).

Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.
А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого. Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики? В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации. Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе. При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке. Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач. В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов): В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:
Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения. Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):

Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми). Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):
И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие. Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:

  • sekurlsa::logonPasswords — извлечение логинов и паролей учетной записи
  • token::elevate — повышение прав доступа до SYSTEM или поиск токена администратора домена
  • lsadump::sam — получение SysKey для расшифровки записей из файла реестра SAM
  • log Result.txt — файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):

Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys: На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером: Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования. В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация. Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX. Ниже несколько примеров того, что обнаружили специалисты:

Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути). Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец). Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:
В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации. Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:
Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки: А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

Итак, pagefile.sys действительно может содержать большое количество различных артефактов, которые могут помочь в анализе. Именно поэтому никогда не стоит игнорировать исследование файла подкачки. Даже если есть у вас есть все необходимые данные — все равно исследуйте pagefile.sys. Практика показывает, что там может находиться что-то недостающее и важное.

Источник: https://habr.com/ru/company/group-ib/blog/512728/

Pagefile.sys — что это такое? Как удалить или перенести его?

Pagefile sys windows xp

Здравствуйте Друзья! В этой статье мы разберемся что есть — Pagefile.sys, как его удалить, изменить или перенести на другой диск. По мере освоения компьютера пользователю попадается на глаза этот скрытый файл в корне системного диска.

И так как этот файл занимает гигабайты свободного пространства, то появляется закономерный вопрос. — А что это за файл и для чего он нужен и нужен ли он мне вообще? После того как пользователь узнает об этом файле ему становится необходимо управлять им. Удалять, изменять размер или переносить на другой диск.

Как это все делать вы узнаете в этой статье. Если кому нужно быстро, то посмотрите видео в конце статьи.

2_07_2014. Важно! Прочитайте пожалуйста всю статью и особенно заключение, а после настраивайте Pagefile.sys.

Pagefile.sys — что это такое?

Pagefile.sys — это файл подкачки операционной системы Windows. Так же часто его называют виртуальной памятью. Это тот самый файл, который приходит на помощью когда в системе заканчивается оперативная память. В эти критические моменты, чтобы компьютер не зависал, а хоть и медленно, но продолжал работать, система обращается за поддержкой к этому файлу.

В него Windows сбрасывает все то, что не помещается в данный момент в оперативной памяти. Из всего содержимого памяти выбирается то, что менее используется или использовалось давно (то есть информация которая скорее всего будет наименее востребована по крайней мере в ближайшее время) и записывается в файл Pagefile.sys, освобождая тем самым место для используемой информации в данный момент.

Это дает следующие преимущества. Система может использовать больше «оперативной» памяти, чем установлено в компьютере, а пользователь, соответственно, сможет запускать сколько нужно приложений и при этом система не зависнет. С огромной вероятностью, компьютер будет тормозить, но зависнуть не должен.

То есть это резерв, если вам нужно иногда выполнять ресурсоёмкие задачи, такие как конвертирование видео или просто поиграть в современную игру. Почему написал — иногда, потому, что компьютер, как уже говорил, будет тормозить и удовольствия от такой работы или игры вы скорее всего не получите.

Почему же компьютер тормозит при использовании файла подкачки. Потому что увеличивается нагрузка на жесткий диск вашего компьютера. Ему необходимо работать и за себя и за оперативную память.

Сие приводит не только к потери нервных клеток пользователя, но и к сокращению ресурса работы HDD. Поэтому, если вы почувствовали, что крепко используете Pagefile.sys, то задумайтесь над увеличением оперативной памяти вашего компьютера.

Как это сделать можно прочитать и посмотреть тут. После увеличения ОЗУ этот файл можно будет удалить без каких-либо последствий.

Как удалить Pagefile.sys?

В Windows 7 и Windows 8 это делается следующим образом. Переходите по следующему пути

Пуск > Панель управления > Система и безопасность > Система

Слева выбрать Дополнительные параметры системы

В открывшемся окне Свойства системы в поле Быстродействие нажимаем Параметры…

Открывается окошко Параметры быстродействия. Переходите на вкладку Дополнительно и нажимаете Изменить…

Далее в открывшемся окошке Виртуальная память в поле Размер файла подкачки для каждого диска выбираем раздел, на котором у вас располагается Pagefile.sys — 1. Выбираем Без файла подкачки — 2. Нажимаем кнопку Задать -3.

Если у вас файл подкачки находится на нескольких дисках, тоже самое делаем и с другими разделами.

Когда напротив каждого диска у вас будет в столбце Файл подкачки значение «Отсутствует» (как у рисунке выше) нажимаете ОК — 4.

Теперь для окончательного удаления Pagefile.sys необходимо перезагрузить компьютер.

Как изменить Pagefile.sys?

Обычно требуется увеличить файл Pagefile.sys. Делается это в том же окошке Виртуальная память. Выбираем диск на котором у вас расположен файл подкачки -1. Если вы не знаете сколько вам нужно виртуальной памяти, то выбираете Размер по выбору системы -2. Нажимаете Задать -3 и ОК -4.

После этих манипуляций система сама будет следить за файлом Pagefile.sys и при необходимости его увеличит.

Если вы хотите сами задать определенные значения для файла подкачки, чтобы в процессе работы Windows его не трогала (в момент изменения файла Pagefile.sys система будет тратить свои ресурсы и возможно будут наблюдаться некоторые тормоза), необходимо задать точный размер.

Источник: https://youpk.ru/pagefile-sys/

Полная настройка файла подкачки Windows

Pagefile sys windows xp

В прошлой статье рассказано, как определиться с оптимальным размером файла подкачки, что делать с SSD-дисками и как установить размер файла на Windows 7, 8 и 10 (а также XP и Server — действия практически идентичны).

В этой статье рассматриваются следующие действия с pagefile.sys (а также swapfile.sys в поздних версиях Windows): дефрагментация, перенос, полное отключение и очистка. Имеет ли смысл создавать несколько файлов подкачки на Windows, на каких дисках их лучше размещать и к чему все это может привести касательно улучшения быстродействия системы.

Оглавление статьи:

Расположение и видимость файлов подкачки

По-умолчанию файлы подкачки pagefile.sys и swapfile.sys располагаются в корне диска, где размещена сама Windows (все системные папки). Так как pagefile.sys является скрытым системным файлом, по-умолчанию он невидим: нужно включить отображать скрытые файлы и папки. В Windows 7 отображение скрытых файлов и папок можно настроить в Панели управления.

Включение невидимых (скрытых) файлов и папок в Windows 7:

  1. Нажать кнопку Пуск.
  2. Перейти в Панель управления, затем в раздел Оформление и персонализация.
  3. Выбрать «Параметры папок» -> «Вид» -> «Дополнительные параметры».
  4. Выбрать «Показывать скрытые файлы, папки и диски».
  5. Нажать Ок для сохранения изменений и выхода из меню.

В Windows 10 включить отображение скрытых файлов и папок можно в проводнике:

  1. В верхнем меню проводника перейти на вкладку Вид.
  2. Выбрать раздел Параметры, в открывшемся окне снова открыть вкладку Вид.
  3. Открыть «Дополнительные параметры» и снять галочку с пункта «Скрывать защищенные системные файлы».
  4. Поставить галочку напротив пункта «Показывать скрытые файлы».
  5. Нажать «Применить», затем «Ок» для сохранения изменений.

Меню настройки параметров папок должно выглядеть примерно следующим образом:

Полное отключение pagefile.sys и swapfile.sys

Вопрос необходимости полного отключения файлов подкачки одинаково часто волнует пользователей Windows 7 и 10, когда появляется скоростной SSD-диск или достаточный объем оперативной памяти (ОЗУ). В статье про оптимальный размер файла подкачки уже было выяснено, что полностью отключать его не имеет смысла.

Причины полностью не отключать сфоп (подкачку):

  1. Некоторые программы и игры, да и сама Windows созданы для работы с файлом подкачки, без него могут появляться неожиданные ошибки и глюки.
  2. При достаточном объеме ОЗУ (8-16 Гб и выше, в зависимости от задач), в pagefile.sys в день будет писаться 300-500 Мб данных. Иначе говоря, пользователь ничем не жертвует.
  3. При достаточном объеме ОЗУ можно выставить ограничение размера файла в 1 Гб и не беспокоиться о нем в дальнейшем.

Если желание выключить файл подкачки не пропало, в Windows 10 это делается следующим образом:

  1. Щелкнуть правой кнопкой мыши по меню Пуск, выбрать пункт Система.
  2. В левом меню нажать «Дополнительные параметры системы» (нужно обладать правами администратора).
  3. Нажать Параметры, открыть вкладку Дополнительно.
  4. В окошке «Виртуальная память» нажать на кнопку Изменить…
  5. Убрать галочку с пункта «Автоматически выбирать объем файла подкачки».
  6. Чуть ниже выбрать строчку Без файла подкачки.
  7. Нажать Задать, затем Да в появившемся окне с предупреждением.
  8. Нажать Ок в окне настроек Виртуальной памяти для сохранения изменений.

Все изменения вступят в силу после перезагрузки компьютера. На всякий случай можно проверить, действительно ли pagefile.sys был удален и отсутствует в корне системы. Если в дальнейшем какая-либо игра или программа потребует данный файл или начнет выдавать ошибки о нехватке виртуальной памяти, включить pagefile обратно можно в этом же меню.

В Windows 7 и Windows 8/8.1 для изменения или удаления файла подкачки нужно:

  1. Нажать правой кнопкой мыши на иконке Мой компьютер на рабочем столе, выбрать Свойства.
  2. В левом меню выбрать «Дополнительные параметры системы».
  3. Перейти во вкладку «Дополнительно» в верхней части окна.
  4. В разделе Быстродействие нажать на кнопку Параметры.
  5. Опять перейти на вкладку «Дополнительно». В разделе окна «Виртуальная память» будет написано, какой максимальный размер может занимать файл подкачки на данный момент.
  6. По-умолчанию эти версии Windows ставят размер pagefile, равный оперативной памяти. Нажать Изменить, чтобы выставить другие значения.
  7. Убрать галочку с пункта «Автоматически выбирать объем файла подкачки».
  8. Выбрать пункт Без файла подкачки, чтобы полностью его отключить.
  9. Нажать ОК и перезагрузить компьютер, чтобы изменения вступили в силу.

Как уже говорилось, Windows 7/8 не очень хорошо работает без файла pagefile.sys в системе. Лучше оставить размер подкачки 512-1024 мегабайт для системных целей. Это правило работает вне зависимости от объема ОЗУ на компьютере.

Перенос и дефрагментация (разбивка)

Перенос файла подкачки с одного диска на другой выполняется на той же странице, где выбирается размер файла и производится включение/выключение подкачки. Можно выбрать любой из дисков, подключенных к системе, в том числе SSD. Изменения вступят в силу после перезагрузки: Windows создаст новый файл на указанном диске при запуске системы.

Что интересно, на официальном сайте Microsoft есть только одна статья про перенос файла подкачки. Статья содержит инструкцию для Windows XP, новой информации по этой теме не добавляли.

Инструкция ниже поможет перенести pagefile.sys на другой диск в Windows 7, 8/8.1 и 10:

  1. Нажать правой кнопкой мыши по иконке Мой компьютер на рабочем столе, перейти в Свойства.
  2. Выбрать слева «Дополнительные параметры системы», затем перейти в раздел «Дополнительно».
  3. В разделе Виртуальная память нажать кнопку Изменить (заодно можно выставить оптимальный размер файла, ориентируясь на предложения Windows и данные из соседней статьи).
  4. Убрать галочку с пункта «Автоматически выбирать размер файла подкачки», если она была там установлена.
  5. В списке Диск [метка тома] выбрать диск, ниже выбрать Указать размер и установить размер файла в мегабайтах.
  6. Нажать Задать и ОК для сохранения изменений. Нажать ОК в окне с системным сообщением, если такое появится.

Можно выбрать сразу несколько дисков и установить разный размер для подкачки в каждом из них. В этом случае будет несколько документов pagefile.

sys, которые Windiws будет использовать по своему усмотрению. Для обычного пользователя нет смысла выполнять разбивку.

Дефрагментация файла подкачки на несколько отдельных файлов не ускорит работу системы и не даст никакого выигрыша в производительности.

В некоторых случаях файл минимального размера все-таки нужен именно на системном диске, а не на скоростном SSD или flash. Это позволяет сохранить возможность диагностики системы при возникновении критических ошибок (BSOD), поскольку туда можно записывать отладочные данные.

Разбитый на несколько дисков файл будет выглядеть следующим образом:

Файл подкачки на флешку

Отдельно хотелось бы упомянуть о такой практике, как перенос файла подкачки на флешку. Во-первых, сделать это достаточно проблематично, поскольку Windows не выдаст в списке дисков для файла подкачки съемные носители данных. Во-вторых, даже если перенести на флешку pagefile.sys все-таки удастся, это может не дать никакого значительного результата.

С одной стороны, скорость USB 3.0 действительно высока, особенно если сравнивать с HDD:

  • USB 2.0 — до 480 Мбит/с ( 60 Мбайт/с)
  • USB 3.0 — до 5 Гбит/с (600 Мбайт/с)
  • SATA Revision 2.0 — до 3 Гбит/с
  • SATA Revision 3.0 — до 6 Гбит/с

В реальности, далеко не каждая флешка работает даже на максимальных скоростях USB 2.0, не говоря уже про 3.0. От обычной флешки в такой ситуации удастся получить скорость записи/чтения в 30-100 Мб/сек или даже менее. В сравнении с HDD, не говоря уже про SSD-диски, такие скорости не дадут никакого выигрыша в производительности.

Очистка содержимого файла подкачки

Во время выключения компьютера Windows стирает все данные, которые есть в оперативной памяти (ОЗУ). Данные из файла подкачки по-умолчанию не стираются и остаются на жестком диске при выключенной системе. Следовательно, в некоторых ситуациях, посторонние лица могут получить доступ к информации в этом файле.

В целях безопасности можно принудить Windows удалять все содержимое pagefile.sys, переписывая все ячейки памяти на нули. В этом случае потенциальные злоумышленники не смогут добраться до важных документов. При этом и сам владелец не сможет получить доступ к информации из подкачки, в том числе необходимой для отладки.

Принудить Windows очищать содержимое файла подкачки можно двумя способами:

  • При помощи настроек Редактора групповой политики.
  • При помощи изменения значения записей в Редакторе реестра Windows.

Без лишней необходимости в Редактор реестра лезть не стоит, особенно если нет опыта работы с данным разделом системы. Сначала следует попробовать включить очистку файла, используя инструкцию для Редактора групповой политики.

Данный способ работает только у владельцев Pro- или Enterprise- версии Windows:

  1. Нажать Пуск, в строке поиска ввести gpedit.msc и открыть файл.
  2. В открывшемся Редакторе групповых политик нужно перейти в раздел Конфигурация компьютера, затем в Конфигурацию Windows.
  3. Открыть Безопасность > Локальные политики > Параметры в левой части окна.
  4. На правой части панели дважды кликнуть по политике Завершение работы: очистка файла подкачки виртуальной памяти.
  5. В открывшемся окне выбрать пункт Включить.
  6. Нажать ОК для сохранения изменений. Изменения вступят в силу после перезагрузки системы.

Если что-то пошло не так, можно воспользоваться Редактором реестра:

  1. Нажать «Пуск», затем «Выполнить». В появившемся окне ввести regedit и нажать кнопку Enter.
  2. В открывшемся редакторе реестра нужно найти ключ (в левой части окна): HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Management.
  3. Кликнуть правой кнопкой мыши в любом свободном месте в правой части окна, в контекстном меню выбрать Создать -> Параметр DWORD (32 бита).
  4. Новый параметр нужно назвать ClearPageFileAtShutdown.
  5. Дважды кликнуть по созданному параметру, в открывшемся окошке ввести 1 в поле Значение (Value), нажать Ок для сохранения изменений.

Готовая работа должна выглядеть следующим образом:

Для вступления изменений в силу необходимо перезагрузить компьютер. После этого Windows будет очищать содержимое pagefile.sys каждый раз при выключении системы.

Чтобы отключить очистку файла подкачки, нужно установить у созданного параметра ClearPageFileAtShutdown значение 0, либо просто удалить его из реестра.

После удаления (ПКМ -> Удалить) Windows восстановит значение по умолчанию (отсутствие очистки при выключении).

Источник: http://setupwindows.ru/setup/pagefile

Оптимизация и настройка Windows XP. Файлы pagefile.sys и hiberfil.sys

Pagefile sys windows xp

Страница 1234567891011

Что за файлы pagefile.sys и hiberfil.sys?
Файл pagefile.sys – скрытый файл на жестком диске, используемый Windows для хранения частей программ и файлов данных, не помещающихся в оперативной памяти. Файл подкачки и физическая (оперативная) память составляют виртуальную память.

По мере необходимости Windows перемещает данные из файла подкачки в оперативную память (для их использования программой) и обратно (для освобождения места для новых данных). Файл подкачки называется также файлом виртуальной памяти. Рекомендуемый размер файла подкачки должен быть в 1,5 раза больше размера оперативной памяти компьютера.

Чтобы изменить размер файла подкачки виртуальной памяти выберите Пуск-Панель управления – Система – Дополнительно. Выбираем параметры “Быстродействия”. На вкладке Дополнительно в группе Виртуальная память нажмите кнопку Изменить. В списке Диск [метка тома] выберите диск, содержащий файл подкачки, размер которого необходимо изменить.

Установите переключатель Размер файла подкачки для выбранного диска в положение Особый размер и введите новый размер файла подкачки (в мегабайтах) в поле Исходный размер (МБ) или в поле Максимальный размер (МБ), а затем нажмите кнопку Установить.

Если в итоге исходный или максимальный размер файла подкачки уменьшается, то для вступления изменений в силу необходимо перезагрузить компьютер. В случае увеличения размера перезагрузка, как правило, не требуется. Майкрософт настоятельно рекомендует не отключать и не удалять файл подкачки.
Файл hiberfil.

sys – скрытый файл на жестком диске используемый для функции “Спящий режим”. Спящий режим — это состояние, в котором компьютер завершает работу, предварительно сохранив все содержимое памяти на жестком диске. При перезапуске компьютера состояние рабочего стола полностью восстанавливается. Размер файла равен размеру оперативной памяти компьютера.

Отключить или задать “Спящий режим” можно во вкладке “Электропитание”. Пуск – Панель управления – Электропитание. После снятия галки с “Разрешить использование спящего режима”, файл hiberfil.sys исчезнет с жесткого диска.

Драйверу видеоустройства не удалось завершить прорисовку 1.Необходимо скачать WinFlash http://www.radeon2.ru/bios/util/winflash%201.0.0.16.zip и RaBiT-1.7 http://rusjaz.narod.ru/RaBiT-1.6-hotfix.rar всё есть на http://www.

radeon2.ru 2.С помощью WinFlash сохраняем BIOS 3.С помощью RaBiT-1.7 меняем в =MC Timings= параметр =Row activate to Row active command time= c 3 на 4 и сохраняем новый BIOS. 4 С помощью WinFlash заливаем новей BIOS и наслаждаемся, ни каких глюков.

В свойствах папки отсутствует вкладка “Безопасность”.
Чтобы вкладка Безопасность появилась, надо зайти в “Свойства папки” (Win + E, Сервис -> Свйства папки), переходи на вкладку “Вид” и снимай флажок напротив надписи “Использовать простой общий доступ к файлам”.

Возможно ли создать ярлык на запуск Диспетчера устройств Без проблем! К Диспетчеру Устройств:

%windir%\System32\mmc.exe (пробел) %windir%\system32\devmgmt.msc (пробел) /s

Какие файлы можно удалить, чтобы освободить место на диске?
Файлы с расширениями *.tmp; *.~mp; *.gid; *.fts; *.chk; *.00*; *.—; *.$$$; *.*$; ~*.*; *.~*; *.??_; *.??~; *.*; *.syd; *.prv; *.old; *.bak; mscreate.dir вы можете удалить, тем самым освободив диск на несколько мегабайт.

Но надо учитывать одну особенность; если жесткий диск не разбит на разделы, и дистрибутивы хранятся вместе с системными файлами, т.е. на одном диске с C:\WINDOWS\. В таком случае Вы можете потерять важные файлы.

Поэтому, всегда разбивайте жесткий диск минимум на два раздела, и храните дистрибутивы на втором, не на загрузочном диске, в отдельной папке.

Как сделать дискету для сброса пароля?
Дискета для сброса пароля (Password Reset Disk) предназначена для того, чтобы зарегистрироваться на компьютере даже в том случае, если пароль забыт.

Для создания Password Reset Disk следует выбрать Пуск-Панель управления-Учетные записи, щелкнуть по своей учетной записи. В появившемся окошке в левой колонке (где Родственные задачи) есть пункт Подсказка о пароле – после щелчка по нему запустится мастер создания “спасительной” дискеты.

Эта дискета создается один раз – ее не нужно переделывать при каждой смене пароля

Как автоматизировать вход в систему – без ввода логина и пароля?
Пуск – Выполнить, вводим команду control userpasswords2 После открытия апплета, служащего для управления учетными записями пользователей, снимаем на вкладке Пользователи флажок напротив “Требовать ввод имени пользователя и пароля”. После нажатия на кнопку ОК появится диалоговое окно “Автоматический вход в систему”, где нужно будет указать имя пользователя и пароль.

Где можно найти файл с музыкой “Вас приветствует Microsoft Windows”
Файл находится здесь С:\WINDOWS\system32\oobe\images, называется title.wma

Какие настройки протокола TCP надо настроить, чтобы увеличить скорость в Интернете?
Все основные настройки для Windows XP находятся в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

Здесь можно настроить следующие параметры:

  1. Максимальный размер TCP пакета. «MTU» — это размер пакета, который может передаваться в конкретной сети без дробления на ещё более мелкие фрагменты. Параметр «MTU»(dword) или «MaxMTU»(«Maximum Transfer Unit» — «максимальный передаваемый блок»). Значение может быть «0x00000240(576)» или «0x000005dc(1500)».
  2. Времени жизни пакета. «DefaultTTL» («Time To Live» — «время жизни пакета»). Это время (в секундах), в течение которого возможно перемещение пакета по сети. Параметр «DefaultTTL» (string — строковый) и значение равным «128».
  3. Максимальный размер окна для приёма TCP пакетов. Параметр «TCPWindowSize»(dword). Этот параметр определяет количество байтов, которые отправитель может передать, не получая подтверждения. По-умолчанию используется значение «0x00002238(8760)». Значение для DSL и кабельного модема — «0x0002da00(186880)».
  4. Выборочная передача поврежденных данных. Параметр «SackOpts» (dword) значение «1». Данная опция включает поддержку «Selective Acknowledgement» (SACK). Если пакет или ряд пакетов TCP потеряны, то получатель может сообщить отправителю, какие данные были получены, а какие нет.
  5. Автоматическое определение размера TCP пакета. Параметр с именем «EnablePMTUDiscovery» (dword) и значением «1», чтобы автоматически определять размер «MTU». В этом случае Windows сама подбирает оптимальное значение «MTU», однако процедура его вычисления для каждого соединения требует времени, что чуть тормозит работу при закачке небольших файлов и открытии страниц.
  6. Поддержка TCP окон больше 64Кб. Параметр «Tcp1323Opts» (dword) и значением «1», для включения опции. Для сетей с большой пропускной способностью.

Примечание: установите с настройках COM-порта (если модемное соединение) максимальную скорость (бит/сек) и управление потоком – Аппаратное

Где хранит свои базы Касперский v5.0.
Антивирусные базы находятся здесь: \Document and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\Bases

Что нужно сделать, чтобы при загрузке WinXP по умолчанию был включен Num Lock на клавиатуре?
Несколько раз выйти из системы с включенный NumLock, система должна запомнить это, и в будущем включать его при загрузке автоматически. Но можно добиться того же эффекта и быстрее. Идём в реестр, и по адресу HKEY_USERS\DEFAULT\Control Panel\Keyboard

находим ключ InitialKeyboardIndicators. Меняем его значение на 2, и при загрузке NumLock будет всегда включен. Меняем на 0, и NumLock будет всегда выключен

Как изменить путь установки программ, например не в Program Files на диске С, а в тот который нужен мне?
Для этого надо открыть раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

и в параметре ProgramFilesDir задайте нужный вам каталог.

Что значит проверить системные файлы? Это значит, что если некоторые системные файлы повреждены, то их можно восстановить программой sfc.exe. Для запуска надо воспользоваться консолью командной строки ПУСК_ВЫПОЛНИТЬ_CMD. Команда запуска sfc.exe. После запуска Вы увидите следущее: Проверка всех защищенных системных файлов и замена неправильных версий правильными версиями. SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x] Выбираете параметры и запускаете. /SCANNOW Немедленная проверка всех защищенных системных файлов /SCANONCE Разовая проверка при следующей загрузке /SCANBOOT Проверка всех защищенных системных файлов при каждой загрузке /REVERT Устанавливает исходные параметры по умолчанию. /ENABLE Включение нормальной работы защиты файлов Windows /PURGECACHE Очистка файлового кэша и немедленная проверка файлов

/CACHESIZE=x Установка размера файлового кэша

Похожие публикации

Источник: https://www.windxp.com.ru/arhiv9.htm

Освобождаем место на системном диске Часть 1. (Файлы Hiberfil.sys и Pagefile.sys)

Pagefile sys windows xp
Сюрприз подкрался незаметен.

Доброго!

Знакомая ситуация?

Такое случается в тех случаях когда при установке системы диск был разбит на разделы(обычно диск C: под систему и диск D: “под документы”) и системному всегда достается самый малый объем(Хорошо если 100 Гбайт!).

Споры о том “надо делить жесткий диск на разделы или оставить один но большой” ведутся очень давно и ещё нескоро закончатся но сей материал не об этом.

Так вот – через определенное время использования компьютера (которое зависит от многих параметров – количества пользователей, их потребностей и т.д. ) пользователь видит картину находящуюся выше по течению.

После чего открывает “Мой Компьютер” дабы убедиться что да, системный диск переполнен и нужно что то делать.

Нехватка дискового пространства всегда нежелательна и неприятна а в случае системного раздела – ещё и опасна, есть большая вероятность повредить ОС и вывести её из строя.

В данной статье я буду разбирать ситуацию и её разрешение на примере ОС Windows 7. Но данное решение актуально и для Windows 10.

Вот пример:

Видно что на диске C: ситуация критическая и нужно что то делать.

Вот так выглядит корень диска C: при настройках по умолчанию.

Как видим, корневой каталог пуст. Но это не так!

По умолчанию в корневом каталоге системного диска (Обычно это диск C:) всегда находятся две системных файла:

Hiberfil.sys – файл куда записывается содержание оперативной памяти перед уходом компьютера в гибернацию и откуда это содержимое загружается обратно в ОЗУ при выходе из этого режима.

Примечательно что в Windows 7 этот файл по умолчанию имеет размер равный объему ОЗУ в то время как в Windows 10 этот файл может быть меньше – видимо, учитывается только тот объем ОЗУ который используется.

Pagefile.

sys – Файл подкачки, куда ОС выгружает данные приложений не проявляющие активность определенное время для освобождения ОЗУ и ускорения работы активных приложений.

Его размер определяет либо пользователь либо сама система – согласно настройке.

Итак, давайте посмотрим – какой размер занимают эти два файла на системном диске.

Настройка отображения в проводнике скрытых и системных файлов

Для этого нужно включить режимы отображения системных и скрытых файлов.

Для чего – открываем любую папку(Проводник, Мой Компьютер или любую другую) и нажимаем клавишу Alt. Перед вами появится скрытое меню содержащее пункт “Сервис“. Далее выбираем “Сервис” – “Параметры папок

“Сервис” – “Параметры папок”

Получив следующее окно – Убираем галочку, говорим “Да” на ругань про опасность видимости системных файлов (Пункт 1), Переключаем радиоточку (Пункт 2) и нажимаем “Ок” (Пункт 3).

Переключение видимости системных и скрытых файлов.

Теперь мы можем оценить объем занимаемый файлами hiberfil.sys и pagefile.sys на системном диске C:

Корневая папка системного диска с файлами hiberfil.sys и pagefile.sys

Как видим, размер который они занимают весьма приличен и если их убрать то освободится много дискового пространства так важного для системного раздела.

Ну, за дело!

Hiberfil.sys

Если вы не используете гибернацию при работе с компьютером то это означает что этот файл просто лежит мертвым грузом, отжирая дисковое пространство, память и процессорное время. Давайте отключим этот неиспользуемый режим.

Для начала необходимо запустить командную строку от имени администратора.

Для чего – нажмите кнопку “Пуск” и в окошке “Найти программы и файлы” набрать cmd.exe

На результате поиска наверху выбрать cmd.exe правой клавишей и нажать “Запуск от имени Администратора

Запуск командной строки от имени Администратора В случае если система запросит пароль администратора – вводим его.

Затем, в запущенном окне набираем строку powercfg -h off и нажимаем Enter.

Думаю, смысл команды понятен всем: Через консольную программу управления питанием (powercfg.exe) мы переводим гибернацию (-h, можно -hibernate) в отключенный режим (off)Строка отключения гибернации через консоль.

И любуемся результатом:

При отключении режима гибернации файл hiberfil.sys автоматически удаляется.Если вам необходимо будет вернуть режим гибернации, проделайте все то же самое только строку набирать необходимо с параметром on: powercfg -h on

Так, с одним файлом разобрались, переходим к следующему.

Pagefile.sys

По поводу необходимости использования файла подкачки ведутся лютые холивары.

Одни утверждают что если накинуть ОЗУ поболее то файл подкачки можно отключить вообще и получить тем самым прирост в производительности, другие утверждают что на любое количество ОЗУ всегда найдется своё прожорливое приложение которому в определенный момент банально не хватит памяти и система рухнет в самый неподходящий момент.

Лично я придерживаюсь мнения о том что соломка в виде файла подкачки никогда не помешает.

Ну да ладно, давайте вернемся к нашей проблеме – нехватке места на диске C:.

Как я уже пояснил выше, отключать файл подкачки нежелательно, поэтому его нужно просто перенести на другой диск. Вопрос – нна какой?

Напомню расклад:

На какой диск переносить pagefile.sys? D:, E: или J:?

Казалось бы, вопрос лежит на поверхности – на диске D: больше всего свободного места – туда и нужно переносить.

С одной стороны – это так. Но только если у вас ОДИН жесткий диск разбитый на несколько разделов.

Но если у вас ДВА жестких дисков – грамотнее всего перенести файл подкачки на жесткий диск отличный от того на котором находится ОС – быстродействие системы от этого увеличится потому как работа с pagefile.

sys будет проводиться по другому, не загруженному системой каналу SATA. (Полагаю что IDE у читателей не используется.

)

Как же узнать – сколько жестких дисков установлено в системе и какой раздел относится к каждому из них?

В этом нам поможет инструмент с названием “Управление дисками“.

Для этого либо нажимаем сочетание “Win”+R и набираем там команду compmgmt.msc (Computer management)

Запуск инструмента “Упраление компьютером” – Вариант 1.

Либо щелкаем правой клавишей на ярлыке “Мой Компьютер” и выбираем пункт “Управление

Запуск инструмента “Упраление компьютером” – Вариант 2.

Здесь выбираем пункт ” Управление дисками “

На компьютере установлены два жестких диска разбтитых на два раздела.

Как видим, исходя из стратегии “ОС и файл подкачки – на разных каналах SATA” диск D: нам не подходит – он находится на одном жестком диске с системным.

Поэтому – выбор очевиден – диск E:

Перенесем же на него файл pagefile.sys.

Для этого либо щелкаем на ярлыке “Мой компьютер” правой клавишей и выбираем пункт “Свойства” либо – нажимает сочетание “Win” + Pause

Здесь выбираем “Дополнительные параметы системы” где в закладке “Дополнительно” нажимаем на Кнопку “Параметры“.

Здесь переходим в настройку файла подкачки:

Сначала отключаем файл подкачки на системном диске:

Выбираем пункт “Без файла подкачки” (Пункт 1) и Подтверждаем его клавишей “Задать” (Пункт 2)

Отключение файла подкачки на диске C:

Соглашаемся с руганью ОС.

И переходим к диску E:

Здесь выбираем “Размер по выбору системы” (Пункт 1), подстверждаем кнопкой “Задать” (Пункт 2) и закрываем окно через “ОК” (Пункт 3)

Пользователь может сам выбрать размер файла подкачки при необходимости выбрав “Указать размер”

Для того чтобы настройки выполнились необходимо произвести перезагрузку.

Смотрим результаты:

Диск C:

Диск C:. Файла подкачки и файла гибернации на нем больше нет.

А это – диск E:

Ну и наконец, общая картина:

Результат работы.

Как видим, проблема нахватки места на системном диске решена на что ушло совсем немного времени.

Но, разумеется, за этим нужно очень внимательно следить.

Желаю удачи!

Источник: https://zen.yandex.ru/media/id/5a7e6395a936f42e23a5f453/osvobojdaem-mesto-na-sistemnom-diske-chast-1-faily-hiberfilsys-i-pagefilesys-5c63c52b0c21d400ae940609

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.