Как узнать работает ли файл подкачки

Файл подкачки Windows / Хабр

По запросу в любой поисковой системе «файл подкачки windows» можно получить тысячу-другую скопированных друг у друга, либо немного отличающихся ответов по выбору оптимальных размеров для pagefile.sys.

Самые распространенные советы выглядят примерно следующим образом: для машин с маленьким ОЗУ нужно задавать размер файла подкачки k*RAM, где RAM — объем физической памяти, k — какой-нибудь коэффициент, коих много самых разнообразных. И 1,5, и 2, и даже 3 встречал. Если же планок памяти стоит на 4Гб и больше, то «смело отключайте виртуальную память в принципе».

Статья о том, стоит ли верить ли этим советам, и если да, то насколько.

Что такое файл подкачки?

pagefile.sys, он же файл подкачки — файл, представляющий собой виртуальную память, которая позволяет одновременно выполняться большому количеству процессов, которые все сразу не смогли бы поместиться в физической памяти.
По умолчанию после установки Windows файл подкачки увеличивается автоматически при заполнении текущего объема.

Если отключить файл подкачки

Если попытаться отключить файл подкачки в windows 7, система выдаст предупреждающее окно, в котором сообщит о неприятных последствиях:

Отсюда следует, что не стоит полностью отказываться от использования виртуальной памяти, иначе в случае краха не получится даже проанализировать причину сбоя. Указанный на скриншоте минимальный размер в 1МБ берется из расчета конфигурации дампа памяти в настройках «загрузка и восстановление»:

Если выбрать для записи отладочной информации полный дамп, то размер увеличивается на несколько порядков. У меня он составил 400МБ.

Кроме отсутствия возможности записи дампа, после отключения файла подкачки может появится назойливое сообщение о нехватке памяти. Появление его будет сопровождаться жуткими тормозами ресурсоемких приложений.

Если перенести файл подкачки на другой раздел

Куча статей по оптимизации вашей ОС рекомендует перенести файл подкачки на отдельно созданный и отформатированный в FAT32 раздел жесткого диска. При этом повышается быстродействие и уменьшается фрагментация этого файла.

При подобных манипуляциях не стоит забывать, что файл подкачки должен присутствовать в системном разделе для корректной записи отладочной информации. Выбирать приходится между быстродействием и возможностью сбора данных о возникших неприятностях.

Размер файла подкачки

Вернемся к нашим апельсинам к вопросу об оптимальном размере. Перекопав множество статей, информационных изданий и даже рекомендации Microsoft, я так и не нашел четкого и однозначного ответа на этот вопрос. Да и не нашел бы, как стало мне ясно после прочтения перевода статьи Марка Руссиновича Преодолевая ограничения Windows: виртуальная память. В заключении приведу ссылки на перевод и оригинал, а сейчас постараюсь объяснить, откуда же взять размер файла.

Для начала потребуется утилита Process Explorer, она является бесплатным аналогом дефолтного Task Manager'a, но обладает многими преимуществами. Скачать можно по ссылке.

После запуска Process Explorer'a выберите самые ресурсоемкие в плане используемой памяти приложения, которые используете в повседневной жизни, и запустите их все одновременно. В окне Process Explorer'a нажмите CTRL+I или выберите в меню View/System Information, из всего многообразия представленных в окне данных нужно выбрать область Commit Charge

Значение Peak — пиковое значение выделенной памяти для всех приложений, складываемое из физической и виртуальной памяти.

Далее вооружаемся калькулятором и вычитаем из этого значения размер оперативной памяти. Если получается отрицательное значение — берем требуемые системой 400МБ (может быть другое значение), необходимые для создания дампа. Если получается положительное значение — выставляем таким минимальное и максимальное значение файла подкачки. Можно подстраховаться и установить «про запас» максимум выше, но тогда вырастет фрагментация файла в случае увеличения его размеров. Поэтому лучше зафиксировать на одном месте.

Литература

Статья Марка Руссиновича Pushing the Limits of Windows: Virtual Memory;
Перевод на русский язык Преодолевая ограничения Windows: виртуальная память;
Описание программы Process Explorer .

Файл подкачки. Правильная настройка файла подкачки и его оптимальный размер.

Здравствуйте уважаемые читатели! Сегодня мы открываем цикл статей про оптимизацию компьютера на ОС Windows. Начнем мы с такой штуки как файл подкачки. В этой статье вы найдёте ответы на такие вопросы: Где находится файл подкачки?; Как правильно настроить файл подкачки?; Как задать оптимальный размер файла подкачки для разных объемов оперативной памяти?. Поехали!

Файл подкачки. Терминология.

Файл подкачки (pagefile.sys) — это системный файл на жестком диске (как правило на системном диске) компьютера, который служит как бы дополнением (расширением) к оперативной памяти. Также эту дополнительную память называют виртуальной памятью компьютера.
Виртуальная память — метод управления памятью компьютера для выполнения программ требующих большие объемы оперативной памяти, чем есть реально на компьютере. Недостающую оперативную память такие программы получают из файла подкачки. Другими словами, файл подкачки разгружает оперативную память в периоды её сильной загрузки.
Оперативная память в разы быстрее чем память файла подкачки. Если одновременно запустить несколько приложений в системе, которые потребляют много оперативной памяти, то данные неиспользуемых из них будут выгружены из оперативной памяти в менее быструю виртуальную память. Активные же приложения будут обслуживаться непосредственно оперативной памятью (RAM). Также, если например свернутое приложение развернуть, то данные из виртуальной памяти вновь перейдут в RAM.

Как настроить файл подкачки и изменить его размер?

Грамотная, правильная настройка файла подкачки поможет значительно ускорить работу компьютера. Этим грех было бы не воспользоваться. Где можно его настроить?

1. Для Windows XP:
   Пуск > Настройка > Панель управления > Система > Дополнительно > Быстродействие > Параметры > Дополнительно > Изменить
2. Для Windows 7/8/Vista:
   Пуск > Настройка > Панель управления > Система > Дополнительные параметры системы > Быстродействие > Параметры > Дополнительно > Виртуальная память > Изменить

До пункта Быстродействие можно дойти также введя команду sysdm.cpl в командной строке Выполнить (командную строку можно открыть нажав WIN+R).

Если вы все сделали правильно, то должны оказаться в окне Виртуальная память. По умолчанию в Windows 7/8/8.1/10 объём файла подкачки определяется автоматически самой системой.
Как видно на картинке, файл подкачки можно настроить для каждого раздела (и каждого диска) отдельно. Чтобы задать свой размер файла подкачки, нужно:

1. В самом верху окна снять галочку с пункта Автоматически выбирать объём файла подкачки.
2. Выберите раздел (либо физический диск) для которого настраивается файл подкачки.
3. Поставьте переключатель в пункт Указать размер, укажите Исходный размер и Максимальный размер (указывается в мегабайтах)
4. Обязательно нажмите на кнопку Задать.

Для отключения файла подкачки поставьте переключатель в пункт Без файла подкачки.

Размер файла подкачки Windows. Какой правильный?

На счет оптимального размера файла подкачки есть разные версии. Я выражу свою точку зрения на этот счет, которая основана на моих наблюдениях и опытах с файлом подкачки на различном оборудовании. Она может совпадать с мнениями некоторых IT-специалистов. Я приверженец версии, что если на компьютере установлено 6-8 Гб и более оперативной памяти, то файл подкачки можно вообще отключить. Считаю, что большие объёмы файла подкачки, только тормозит компьютер. Конечно если объём оперативной памяти менее 6 Гб, то лучше конечно задать определенный объём дополнительной виртуальной памяти.
Как правильно задать объём файла подкачки? Минимальный размер файла подкачки должен совпадать с максимальным. Например: 512-512, 1024-1024, 2048-2048 — это правильное заполнение, а 512-1024, 1024-2048 — неправильное заполнение.
Одинаковые показатели минимального и максимального размера файла подкачки, снижают фрагментацию этого файла, а это следовательно ускоряет процесс считывания информации из него.
Теперь, в зависимости от объёма оперативной памяти посмотрим какой размер файла подкачки нужно задать. Есть следующие примерные показатели:

• оптимальный размер файла подкачки для 512 Mb оперативной памяти, - 5012 Mb;
• оптимальный размер файла подкачки для 1024 Mb оперативной памяти, - 4012 Mb;
• оптимальный размер файла подкачки для 2048 Mb оперативной памяти, - 3548 Mb;
• оптимальный размер файла подкачки для 4096 Mb оперативной памяти, - 3024 Mb;
• оптимальный размер файла подкачки для 8 Гб оперативной памяти, - 2016 Mb;
• оптимальный размер файла подкачки для 16 Гб оперативной памяти (и больше), - без файла подкачки.

Конечно, это субъективный взгляд и данные показатели не могут быть абсолютно точными, рекомендуемыми, но на практике именно они давали эффект. Вы можете сами поэкспериментировать и найти лучшее сочетание для вашего компьютера. Тут есть и некоторые примечания.

Например:

1. Некоторые приложения требуют наличия файла подкачки. Отключение его может привести к ошибкам в работе таких приложений. При отключении виртуальной памяти на системном диске, также станет невозможной запись дампа памяти при BSOD'ах (Синий экран смерти).
2. Если вы, как правило, сворачиваете несколько приложений оставляя их запущенными, а сами переключаетесь на другие, то тут вам тоже может понадобиться большой объём файла подкачки, так как данные свернутых приложений записываются именно в него. Хотя, и здесь все зависит от объема RAM.

Правильное расположение файла подкачки. На каком диске включить?

Если у вас на компьютере несколько физических дисков, то устанавливать файл подкачки нужно на наиболее быстром диске. Считается, что файл подкачки делить на 2 части:

1. Первая часть на системном диске (разделе) (как раз для записи информации отладочной записи при синих экранах смерти)
2. Вторая часть на самом быстром диске

При этом система во время работы обращается к наименее загруженному разделу, не трогая первый.
Также рекомендуется, под файл подкачки создавать отдельный раздел, с объёмом памяти равной либо близкой размеру файла подкачки (например 2024мб). Эта хитрость позволяет избавиться от фрагментации данного файла.

Итоги:

Надеюсь приведенные в статье советы помогут вам правильно настроить файл подкачки на вашем компьютере и оптимизирует его работу. Если есть вопросы пишите в комментариях, постараюсь дать на них исчерпывающие ответы.

Файл подкачки Windows 10, 8 и Windows 7

25.02.2016&nbsp windows

В операционных системах Windows для работы используется так называемый файл подкачки pagefile.sys (скрытый и системный, обычно находится на диске C), представляющий своего рода «расширение» оперативной памяти компьютера (иначе — виртуальная память) и обеспечивающий работу программ даже в том случае, когда физической памяти RAM недостаточно.

Windows также пытается переместить неиспользуемые данные из оперативной памяти в файл подкачки, причем, по информации Microsoft, каждая новая версия делает это лучше. Например, данные из RAM свернутой и неиспользуемой в течение некоторого времени программы, могут быть перемещены в файл подкачки, поэтому ее последующее открытие может быть более медленным, чем обычно и вызывать обращения к жесткому диску компьютера.

При отключенном файле подкачке и небольшом размере оперативной памяти (или при использовании требовательных к ресурсам компьютера процессов), вы можете получить сообщение с предупреждением: «На компьютере недостаточно памяти. Чтобы освободить память для нормальной работы программ, сохраните файлы, а затем закройте или перезапустите все открытые программы» или «Чтобы предотвратить потерю данных, закройте программы.

По умолчанию, Windows 10, 8.1 и Windows 7 автоматически определяют его параметры, однако в ряде случаев изменение файла подкачки вручную может помочь оптимизировать работу системы, иногда может быть целесообразно вообще отключить его, а в некоторых других ситуациях самое лучшее — ничего не изменять и оставить автоматическое определение размера файла подкачки. В этом руководстве — о том, как увеличить, уменьшить или отключить файл подкачки и удалить файл pagefile.sys с диска, а также о том как правильно настроить файл подкачки, в зависимости от того, как вы используете компьютер и его характеристик. Также в статье присутствует видео инструкция.

Файл подкачки Windows 10

Помимо файла подкачки pagefile.sys, который был и в предыдущих версиях ОС, в Windows 10 (еще в 8, на самом деле) появился новый скрытый системный файл swapfile.sys так же находящийся в корне системного раздела диска и, по сути, тоже представляющий собой своеобразный файл подкачки, используемый не для обычных («Классическое приложение» в терминологии Windows 10), а для «Универсальных приложений», ранее называемые Метро-приложениями и еще несколькими именами.

Новый файл подкачки swapfile.sys потребовался в связи с тем, что для универсальных приложений изменились способы работы с памятью и, в отличие от обычных программ, которые используют файл подкачки как обычную оперативную память, файл swapfile.sys используется как файл, хранящий «полное» состояние отдельных приложений, своего рода файл гибернации конкретных приложений, из которого они могут в короткое время могут продолжать работу при обращении.

Предвидя вопрос о том, как удалить swapfile.sys: его наличие зависит от того, включен ли обычный файл подкачки (виртуальная память), т.е. удаляется он тем же способом, что и pagefile.sys, они взаимосвязаны.

Как увеличить, уменьшить или удалить файл подкачки в Windows 10

А теперь о настройке файла подкачки в Windows 10 и каким образом его можно увеличить (хотя тут, пожалуй, лучше просто задать рекомендуемые параметры системы), уменьшить, если вы считаете, что у вас достаточно оперативной памяти на компьютере или ноутбуке, или полностью отключить, освободив тем самым место на жестком диске.

Настройка файла подкачки

Для того, чтобы зайти в настройки файла подкачки Windows 10, вы можете просто начать набирать слово «производительность» в поле поиска, после чего выбрать пункт «Настройка представления и производительности системы».

В открывшемся окне выберите вкладку «Дополнительно», а в разделе «Виртуальная память» нажмите кнопку «Изменить» для настройки виртуальной памяти.

По умолчанию в параметрах будет установлено «Автоматически выбирать объем файла подкачки» и на сегодня (2016), пожалуй, это и есть моя рекомендация для большинства пользователей.

Текст в конце инструкции, где я рассказываю, как правильно настроить файл подкачки в Windows и какие размеры задать при разном размере оперативной памяти, написан два года назад (а сейчас обновлен) хоть, вероятнее всего, не принесет вреда, все-таки не является тем, что я рекомендовал бы делать начинающим пользователям. Тем не менее, такое действие как перенос файла подкачки на другой диск или установка фиксированного размера для него могут иметь смысл в некоторых случаях. Информацию об этих нюансах вы также можете найти ниже.

Для того, чтобы увеличить или уменьшить, т.е. задать вручную размер файла подкачки, снимите отметку с автоматического определения размера, отметьте пункт «Указать размер» и задайте нужные размеры и нажмите кнопку «Задать». После этого примените настройки. Изменения вступают в силу после перезагрузки Windows 10.

Для того, чтобы отключить файл подкачки и удалить файл pagefile.sys с диска C, выберите пункт «Без файла подкачки», а затем нажмите кнопку «Задать» справа и утвердительно ответьте на появившееся в результате сообщение и нажмите Ок.

Файл подкачки с жесткого диска или SSD пропадает не сразу, а после перезагрузки компьютера, удалить его вручную до этого момента не получится: вы будете видеть сообщение о том, что он используется. Далее в статье имеется также видео, в котором показаны все описанные выше операции по изменению файла подкачки в Windows 10. Также может быть полезно: Как перенести файл подкачки на другой диск или SSD.

Как уменьшить или увеличить файл подкачки в Windows 7 и 8

Прежде чем рассказывать о том, какой размер файла подкачки оптимальный для различных сценариев, покажу, как вы можете менять этот размер или отключить использование виртуальной памяти Windows.

Для настройки параметров файла подкачки, зайдите в «Свойства компьютера» (правый клик по значку «Мой компьютер» — свойства»), после чего в списке слева выберите «Защита системы». Более быстрый способ сделать то же самое — нажать клавиши Win + R на клавиатуре и ввести команду sysdm.cpl (подойдет для Windows 7 и 8).

В диалоговом окне откройте вкладку «Дополнительно», а затем кликните по кнопке «Параметры» в разделе «Быстродействие» и тоже выберите вкладку «Дополнительно». Нажмите кнопку «Изменить» в разделе «Виртуальная память».

Как раз здесь вы можете настроить необходимые параметры виртуальной памяти:

• Отключить виртуальную память
• Уменьшить или увеличить файл подкачки Windows

Дополнительно, на официальном сайте Microsoft есть инструкция по настройке файла подкачки в Windows 7 — windows.microsoft.com/ru-ru/windows/change-virtual-memory-size

Как увеличить, уменьшить или отключить файл подкачки в Windows — видео

Ниже — видео инструкция о том, как настроить файл подкачки в Windows 7, 8 и Windows 10, задать его размер или удалить этот файл, а также перенести его на другой диск. А после видео вы можете найти рекомендации о правильной настройке файла подкачки.

Правильная настройка файла подкачки

Есть множество различных рекомендаций о том, как правильно настроить файл подкачки в Windows от людей с самым разным уровнем компетенции.

Например, один из разработчиков Microsoft Sysinternals рекомендует устанавливать минимальный размер файла подкачки равный разнице между максимальным объемом используемой памяти при пиковой нагрузке и физическим объемом RAM. А в качестве максимального размера — это же число, умноженное в два раза.

Еще одна частая рекомендация, не лишенная оснований — использовать одинаковый минимальный (исходный) и максимальный размер файла подкачки во избежание фрагментации этого файла и, как следствие, снижения производительности. Это не актуально для SSD, но может быть вполне осмысленным для HDD.

Ну и вариант настройки, который приходится встречать чаще других — отключить файл подкачки Windows, если на компьютере имеется достаточный объем оперативной памяти. Большинству своих читателей я бы не стал рекомендовать этого делать, потому как в случае возникновения проблем при запуске или работе программ и игр, можно и не вспомнить, что эти проблемы могут быть вызваны отключением файла подкачки. Однако, если у вас на компьютере строго ограниченный набор ПО, который вы всегда используете, и эти программы прекрасно работают без файла подкачки, данная оптимизация тоже имеет право на жизнь.

Перенос файла подкачки на другой диск

Один из вариантов настройки файла подкачки, который в ряде случаев может оказаться полезным для производительности системы — перенос его на отдельный жесткий диск или SSD. При этом имеется в виду именно отдельный физический диск, а не раздел на диске (в случае логического раздела перенос файла подкачки, наоборот, может привести к падению производительности).

Как перенести файл подкачки на другой диск в Windows 10, 8 и Windows 7:

1. В настройках файла подкачки (виртуальной памяти) Windows отключите файл подкачки для диска, на котором он находится (выбрать пункт «Без файла подкачки» и нажать «Задать».
2. Для второго диска, на который мы переносим файл подкачки, задайте размер или установите его по выбору системы и так же нажмите «Задать».
3. Нажмите Ок и перезагрузите компьютер.

Однако, если вы хотите перенести файл подкачки с SSD на HDD с целью продлить срок жизни твердотельного накопителя — возможно, этого делать и не стоит, если только у вас не старый SSD с малой емкостью. В результате вы потеряете в производительности, а увеличение срока службы может оказаться очень несущественным. Подробнее — Настройка SSD для Windows 10 (актуально и для 8-ки).

Внимание: нижеследующий текст с рекомендациями (в отличие от того, что выше) был написан мною около двух лет и в некоторых пунктах не вполне актуален: например, для сегодняшних SSD я более не рекомендую отключать файл подкачки.

В различных статьях, касающихся оптимизации Windows, можно встретить рекомендации отключить файл подкачки, если размер оперативной памяти составляет 8 Гб или даже 6 Гб, а также не использовать автоматический выбора объема файла подкачки. Логика в этом есть — при отключенном файле подкачки, компьютер не будет использовать жесткий диск в качестве дополнительной памяти, что должно увеличить скорость работы (оперативная память в разы быстрее), а при ручном указании точного размера файла подкачки (при этом рекомендуется указывать исходный и максимальный размер одинаковыми), мы высвобождаем место на диске и снимаем с ОС задачи по настройке размеров данного файла.

Примечание: если вы используете SSD диск, то лучше всего озаботиться установкой максимального количества RAM и полностью отключить файл подкачки, это позволит продлить жизнь твердотельного диска.

По моему мнению, это не совсем верно и в первую очередь, следует ориентироваться не столько на размер доступной физической памяти, сколько на то, как именно используется компьютер, в противном случае, вы рискуете видеть сообщения о том, что Windows недостаточно памяти.

Действительно, если у вас 8 Гб оперативной памяти, и работа за компьютером заключается в просмотре сайтов и нескольких игр, вполне вероятно, что отключение файла подкачки будет хорошим решением (но есть риск столкнуться с сообщением о том, что недостаточно памяти).

Однако, если вы монтируете видео, занимаетесь редактированием фото в профессиональных пакетах, работаете с векторной или трехмерной графикой, проектируете дома и ракетные двигатели, используете виртуальные машины, 8 Гб RAM будет мало и файл подкачки непременно потребуется в процессе работы. Более того, отключив его, вы рискуете потерять несохраненные документы и файлы при возникновении нехватки памяти.

Мои рекомендации по настройке размера файла подкачки

1. Если вы не используете компьютер для специальных задач, а на компьютере 4-6 гигабайт оперативной памяти, имеет смысл указать точный размер файла подкачки или отключить его. При указании точного размера, используйте одинаковые размеры для «Исходный размер» и «Максимальный размер». При таком объеме RAM, я бы рекомендовал выделить 3 Гб для файла подкачки, но возможны другие варианты (об этом будет дальше). 
2. При размере оперативной памяти 8 Гб и более и, опять же, без специальных задач, можно попробовать отключить файл подкачки. При этом, учитывайте, что некоторые старые программы без него могут не запуститься и сообщить, что недостаточно памяти.
3. Если работа с фото, видео, другой графикой, математические расчеты и чертежи, запуск приложений в виртуальных машинах — это то, чем вы постоянно занимаетесь на компьютере, рекомендую предоставить Windows определять объем файла подкачки вне зависимости от размера RAM (ну разве что при 32 Гб можно подумать об отключении).

Если вы не уверены, в том, сколько оперативной памяти вам нужно и какой размер файла подкачки будет правильным в вашей ситуации, попробуйте сделать следующее:

• Запустите на компьютере все те программы, которые, в теории, вы можете запустить одновременно — офис и скайп, откройте десяток вкладок YouTube в браузере, запустите игру (используйте ваш сценарий работы).
• Откройте диспетчер задач Windows, пока все это запущено и на вкладке быстродействие посмотрите, какой размер оперативной памяти задействован.
• Увеличьте это число на 50-100% (точного числа не дам, но рекомендовал бы 100) и сравните с размером физической оперативной памяти компьютера.
• То есть, к примеру, на ПК 8 Гб памяти, используется 6 Гб, увеличиваем в два раза (100%), получается 12 Гб. Вычитаем 8, ставим размер файла подкачки 4 Гб и можно быть относительно спокойным за то, что проблем с виртуальной памятью не возникнет даже при критических вариантах работы.

Повторюсь, это мой личный взгляд на файл подкачки, в Интернете вы можете найти рекомендации, значительно отличающиеся от того, что предлагаю я. Каким из них следовать — решать вам. При использовании моего варианта, вы, скорее всего, не столкнетесь с ситуацией, когда программа не запустится из-за недостатка памяти, но при этом вариант полного отключения файла подкачки (что я не рекомендую для большинства случаев) может в положительную сторону сказаться на производительности системы.

А вдруг и это будет интересно:

Как определить размер файла подкачки

Помимо физической памяти (оперативной и подключенных носителей информации) в операционной системе имеется еще и виртуальная. Благодаря этому ресурсу доступно одновременное выполнение большого количества процессов, с которыми бы не справилось ОЗУ. Одним из механизмов виртуальной памяти является SWAP (подкачка страниц). При использовании данной функции фрагменты из RAM перемещаются на HDD или любой другой внешний накопитель. Именно об этом механизме и пойдет речь далее.

Определяем оптимальный размер файла подкачки в Windows

В интернете существует множество споров на эту тему, однако точно правильного и достоверного универсального ответа никто дать не сможет, поскольку задается оптимальный объем файла подкачки для каждой системы отдельно. Зависит это в первую очередь от количества установленной оперативной памяти и частых нагрузках на ОС различными программами и процессами. Давайте разберем два простых метода, как можно самостоятельно определить лучший размер SWAP для своего компьютера.

Читайте также: Нужен ли файл подкачки на SSD

Способ 1: С помощью Process Explorer

Решить, сколько выделить памяти файлу подкачки, можно с помощью проведения небольших расчетов. Для этого потребуется запустить все программы, которые вы часто задействуете одновременно. Рекомендуем немного подождать, пока нагрузка на память будет максимальной. После этого следует обратиться к Process Explorer – выкупленное компанией Microsoft ПО, которое отображает информацию обо всех процессах. Чтобы осуществить подсчеты, выполните следующие действия:

Перейти на официальную страницу загрузки Process Explorer

1. Перейдите на официальную страницу скачивания Process Explorer и нажатием на соответствующую кнопку загрузите софт себе на компьютер.
2. Откройте скачанную директорию через любой удобный архиватор и запустите программу.

Подробнее: Архиваторы для Windows

3. Наведите указатель мыши на меню «View» и во всплывающем окне выберите «System Information».
4. Во вкладке «Memory» обратите внимание на раздел «Commit Charge (K)», где следует узнать значение «Peak».

Цифры, которые вы увидели, означают пиковое потребление физической и виртуальной памяти в данном сеансе. Еще раз хочется уточнить, что замеры осуществлять нужно уже после того, как запущены все необходимые программы и они находятся в режиме активной работы хотя бы десять минут.

Теперь, когда вы получили требуемую информацию, выполните подсчет:

1. Воспользуйтесь калькулятором, чтобы отнять от значения «Peak» размер своей оперативки.
2. Получившееся число и есть объем используемой виртуальной памяти. Если результат отрицательный, установите значение файла подкачки примерно на 700 МБ, чтобы обеспечить корректное создание системного дампа.
3. При условии, что число положительное, нужно записать его в минимальный и максимальный объем SWAP. Если вы хотите установить максимум немного больше, чем получили в результате тестирования, не превышайте сильно размер, чтобы не повышалась фрагментация файла.

Способ 2: Исходя из объема ОЗУ

Данный метод не является самым эффективным, однако если вы не хотите проводить расчеты через специальную программу или не очень активно задействуете системные ресурсы, определить размер файла подкачки можно исходя из объема оперативной памяти. Для этого произведите следующую манипуляцию:

1. Если вы не знаете, какой общий объем RAM установлен на компьютере, обратитесь к инструкциям, расписанным в статье по ссылке ниже. Предоставленная там информация поможет определить данную характеристику ПК.

Подробнее: Узнаем объем оперативной памяти на ПК

2. Менее 2 ГБ. Если у вас на компьютере общий объем RAM равен 2 или меньше гигабайт, поставьте размер файла подкачки равным этому значению или немного превысьте его.
3. 4-8 ГБ. Здесь решение нужно принимать исходя из частой загруженности системы. В среднем оптимальным вариантом будет установка объема наполовину меньше ОЗУ.
4. Более 8 ГБ. Такого количества оперативной памяти хватает среднестатистическому пользователю, который не очень активно потребляет системные ресурсы, поэтому необходимость в увеличении объема отпадает. Оставьте значение по умолчанию или отведите примерно 1 ГБ для корректного создания системного дампа.

Читайте также: Отключение файла подкачки в Windows 7

На компьютере можно создать до 16 файлов подкачки, однако все они должны располагаться на разных разделах носителей. Чтобы повысить скорость обращения к данным, советуем создать отдельный раздел диска для SWAP или установить его на втором носителе. Кроме этого не рекомендуем вовсе отключать рассматриваемую функцию, поскольку некоторым программам она необходима по умолчанию и через нее создается системный дамп, о чем уже было сказано выше. Детальные инструкции по включению файла подкачки вы найдете в другой нашей статье по ссылке ниже.

Подробнее: Как изменить размер файла подкачки в Windows XP, Windows 7, Windows 8, Windows 10

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ

Виртуальная память: Что это и как ее увеличить? - Гаджеты. Технологии. Интернет

Виртуальная память — что это?

Виртуальная память является подкачкой (дополнением) оперативной памяти. Она присутствует практически во всех операционных системах.

При запуске ресурсоемких программ у нас постоянно возникает потребность в виртуальной памяти. По этому сегодня мы рассмотрим подробный обзор «что это такое?» и как мы можем ее изменить в лучшую сторону.

Что такое виртуальная память?

Виртуальная память (Virtual Memory, ВП) — это метод управления памятью компьютера, использующий для работы файл подкачки (swap file). При недостатке существующего объема ОЗУ, позволяет запускать на ПК более ресурсозатратные программы. В таком случае данные приложения автоматически перемещаются между основной памятью и вторичным хранилищем.

Виртуальная память так же обладает рядом достоинств:

• Работает полностью в автоматическом режиме и не требует от пользователя постоянного управления основным пространством.
• Значительно повышает безопасность использования программного обеспечения (снижает вероятность вылетов, критического завершения работы, потери данных).
• Позволяет запускать и использовать на ПК больше памяти, чем это доступно физически.

За счет ее использования компьютер способен изолировать запущенные процессы друг от друга и рационально распределять RAM.

Она расходуется только для хранения активно используемых областей.

Виртуальная память может включать важные для пользователя пароли, логины и другую информацию. Эта возможность используется сотрудниками спецслужб и хакерами для получения доступа к остальным компонентам компьютера. Сделать это можно как аппаратно, так и системно.

Как узнать объем файла подкачки (swap file)

Файл подкачки хранится на винчестере компьютера. Если для работы устройства используется несколько жестких дисков, то он будет расположен на самом быстром из них. Определить объем ВП можно с использованием стандартных средств Windows или специального софта.

Системный монитор

Размер свапа подкачки можно узнать через штатную утилиту «Системный монитор».

Для этого:

• Откройте меню «Пуск» и начните вводить название приложения для мониторинга.
• Появится новое окно. Здесь вы найдете основную информации о свапе, пиковые значения подсчета обмена страниц, процент использования системой и размер.

При определении размера ВП система исходит не из объема ОЗУ, а из задач, которые выполняются на устройстве. Поэтому для определения размера необходимо запустить приложения и компоненты, которые обычно используются компьютером и посмотреть пиковое значение свапинга в течение этого сеанса. Он и будет определять величину файла подкачки.

Узнать объем ВП и другие параметры системы можно используя специальную утилиту Vmmap.exe. Она доступна для бесплатной загрузки на официальном сайте Microsoft и не требует установки. Поставляется в виде исполняемого файла, полностью на английском языке.

Dump File и его типы

Swap используется не только для расширения физической памяти, но и для создания аварийных дампов при возникновении «внештатных» аварийных ситуаций.

Как это работает:

• Во время первоначального запуска системы, Windows создает и сохраняет на жестком диске специальную карту секторов, которые занимает на HDD свап.
• Если происходит сбой, то операционная система изучает созданную карту на наличие неисправностей. В идеале она должна быть целостной. Если это так, то данные переписываются на винчестер и в свап по созданной карте секторов.
• При следующем перезапуске компьютера SMSS анализирует ВП и проверяет его на наличие дампов, если он есть, то данные копируются из файла подкачки в специальный dump file. Дополнительно обновляется системный журнал. Поэтому открыв его можно узнать, была ли проведена эта операция.

Таким образом при автоматическом выборе размера свапа, Windows руководствуется настройками для создания аварийного дампа.

Загрузка и восстановление

Дампы можно разделить на 4 типа:

В него записывается все содержимое RAM на момент незапланированного завершения работы. С учетом этой информации файл подкачки должен иметь размер равный физической памяти компьютера +1 МБ (используется для создания записи в системном журнале).

Выбирается системой автоматически только в том случае, если общий объем физической памяти 4 ГБ и менее.

• Дамп памяти ядра.

В него записывается только информация и память, выделенная для ядра операционной системы. Он занимает сравнительно меньше места и его объема достаточно, чтобы Windows могла определить причины аварийного завершения работы.

Выбирается по умолчанию, если размер RAM превышает 4 ГБ. При выборе дампа памяти ядра важно следить, чтобы минимальный размер для файла подкачки составлял хотя бы ⅓ от общего объема физической.

• Малый дамп памяти.

Записывает только самую необходимую информацию для выявления причин аварийного сбоя. Здесь находится стоп-код и описание самой ошибки, дополнительно указываются загруженные на устройство драйвера и перечень запущенных процессов.

Необходимый размер файла подкачки для него —не менее 2 Мб.

• Автоматический дамп памяти.

Доступен только для операционных систем семейства Windows начиная от восьмерки и выше, либо Server 2012. Представляет собой аналог дампа ядра, но с тем отличием, что система может постоянно менять размер файла подкачки, позволяя ей выбирать оптимальный для работы вариант.

Размер свапа будет напрямую зависит от объема RAM и выбранного типа дампа. Дополнительно стоит учитывать и версию операционной системы. Это касается серверных и обычных сборок.

Как изменить Dump File

Перед тем, как менять размер виртуальной памяти, необходимо правильно определить и выбрать тип дампа. Сделать это можно используя штатные инструменты Windows. Для этого выполните следующие действия:

• Правой кнопкой мыши кликните по значку «Мой компьютер» и выберите меню «Свойства». Найдите пункт «Дополнительные параметры». Откроются свойства системы.

Система

• Попасть в них можно и другим способом. Откройте диалоговое меню: «Выполнить» и в нем наберите:

sysdm.cpl

• На вкладке «Дополнительно» найдите категорию, которая посвящена загрузке и восстановлению системы. После чего нажмите на кнопку «Параметры».

• В блоке «Отказ системы» найдите графу запись отладочной информации и выберите подходящий тип дампа. Для Windows 10 по умолчанию используется Автоматический.

Загрузка и восстановление

• По желанию дамп можно отключить. Для этого в выпадающем списке выберите «Нет». После этого система не будет делать резервные копии.

Учтите, что это может привести к безвозвратной потери важных данных.

Нажмите «Ок», как только внесете все необходимые изменения, чтобы они вступили в силу. Как только тип дампа будет выбран, можно приступать к изменению объема виртуальной памяти.

Как изменить объем виртуальной памяти через быстродействие

Запустите системную утилиту «Выполнить» одновременным нажатием клавиш Windows+R или откройте ее через Пуск. После этого:

• Впишите команду

sysdm.cpl

и нажмите «Ок».

• Перейдите на вкладку «Дополнительно» и найдите здесь категорию «Быстродействие».

Свойства системы

• Кликните по серой кнопке «Параметры». Откроется новое окно. Здесь перейдите на вкладку «Дополнительно».
• В нижней части экрана будет указан объем виртуальной памяти. Нажмите «Изменить», чтобы ввести другой параметр и увеличить, либо уменьшить размер файла подкачки.

Параметры быстродействия

По умолчанию система определяет размер полностью в автоматическом режиме. Это наиболее оптимальная опция для Windows. При изменении объема свапа вручную важно, чтобы новый размер виртуальной памяти был не менее существующего, в противном случае возможны сбои в работе ПК.

После увеличение размера свапа перезагрузка не требуется. Если же он был наоборот уменьшен, то устройство необходимо обязательно перезапустить.

Как добавить виртуальную память на Windows

Как правило, среднестатистическому пользователю достаточно того объема ВП, которая выделяется устройством автоматически. Если на ПК мало физической RAM, то увеличить ее объем можно за счет свапа.

Для этого:

• Правой кнопкой мыши кликните по значку «Мой компьютер» и в выпадающем списке выберите графу «Свойства».
• Откроется окно для работы с параметрами. В левой части экрана найдите надпись «Дополнительный параметры системы».

Для этого необходимы права администратора. При появлении запроса на ввод пароля, укажите его, после чего продолжите изменение параметров.

• Здесь найдите «Быстродействие» и через меню «Параметры» откройте дополнительные свойства. На отразившейся вкладке выберите «Изменить» напротив «Виртуальная память».
• Уберите галочку напротив графы «Автоматически выбирать объем файла подкачки». После этого станут доступны остальные пункты.

Параметры быстродействия

• Выберите диск, на котором много свободного места и чьи ресурсы будут использоваться для создания файла подкачки.
• Отметьте пункт «Указать размер», после чего добавьте значение в пустое поле. При этом число в поле «Максимальный» должно быть в 1,5 раза, чем в поле «Исходный».

Учитывайте, что объем измеряется здесь в МБ.

Как только закончите работу, подтвердите действия нажатием кнопки «Ок». Все изменения автоматически вступят в силу.

В некоторых случаях увеличение Virtual Memory помогает повысить скорость работы ПК, увеличить общее быстродействие.

Рекомендации по использованию виртуальной памяти

VMMAP — Sysinternals

Если вы не знаете, какой оптимальный объем для свапа выбрать и на что это будет влиять, то далее мы предлагаем ознакомиться вам с небольшими советами, которые помогут увеличить быстродействие ПК.

Итак, рассмотрим ряд советов:

• Если на устройстве используется несколько HDD или SSD, то для свапа указывайте тот диск, который не является системным. Здесь не должна быть установлена операционная система. В итоге это значительно повысит общую скорость работы.
• Создавать можно несколько файлов подкачки. Если вы используете дамп, то хотя бы один свап должен находиться на системном диске. Для всех остальных случаев делать это не обязательно.
• Если у вас несколько винчестеров с разными физическими параметрами, то выбирать следует тот, который отличается лучшими показателями скорости работы. Узнать это можно из технических характеристик HDD.
• Если жесткий диск разбит на несколько разделов, то для файла подкачки следует выбирать тот, который является основным (первым). К этому участку есть мгновенный доступ, что серьезно влияет на скорость работы.
• Не бойтесь указать слишком большой размер для файла подкачки. Если физический размер HDD позволяет это сделать, то выделите ВП от 4 объемов от существующей RAM. Слишком низкий показатель может привести к появлению ошибок, критическому завершению работы некоторых приложений (с потерей данных).
• Старайтесь ограничивать минимальный объем swap файла. Это позволит избежать его постоянной фрагментации. Если вы используете компьютер для работы с ресурсозатратным ПО или он работает в качестве сервера для хранения баз данных, то размер файла подкачки должен составлять 2-3 полных объема ОЗУ. Во всех остальных случаях он должен быть равен RAM или быть больше в 1,5 раза.

После манипуляций с настройками компьютера и изменением размера ВП лучше перезагрузить компьютер (хотя это не всегда обязательно) и запустить специальную утилиту для дефрагментации. Это поможет переместить его ближе к началу раздела, чтобы система получала к нему моментальный доступ.

Так же подробно про ВП можно посмотреть в видеоролике ниже:

Виртуальная память или файл подкачки

В видео рассматривается оптимальный размер файла подкачки

Сегодня мы ответили на вопрос «Виртуальная память, что это? И для чего она нужна?». Она помогает значительно повысить быстродействие системы и используется для хранения информации при сбоях. По умолчанию объем файла подкачки регулируется Windows полностью в автоматическом режиме.

Если пользователь хочет указать его самостоятельно, то для этого необходимо учесть выбранный тип дампа (либо отключить его). Объем виртуальной памяти зависит от дампа и общего объема RAM.

полезные артефакты для компьютерного криминалиста / Блог компании Group-IB / Хабр

В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Часть 1. Что скрывают pagefile.sys

Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.

Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.

Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.

Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:

Видно, что это скрытый системный файл, который так просто не скопировать.

Как тогда получить этот файл? Сделать это можно несколькими способами:

• если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана

• если есть цифровая копия накопителя или же сам файл — просто копируем файл или работаем с ним напрямую.

Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования).

На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.

Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.

Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:
Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.

А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.

Идем в поля

Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?

В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.

Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.

При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.

Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.

В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):

В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:

Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.

А что еще?

Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):

Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).

Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):

И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.

Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:

• sekurlsa::logonPasswords — извлечение логинов и паролей учетной записи
• token::elevate — повышение прав доступа до SYSTEM или поиск токена администратора домена
• lsadump::sam — получение SysKey для расшифровки записей из файла реестра SAM
• log Result.txt — файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):

Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys:
На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:
Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.

В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.

Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.

Ниже несколько примеров того, что обнаружили специалисты:

Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).

Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец).
Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:

В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.

Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:

Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:
А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

Итак, pagefile.sys действительно может содержать большое количество различных артефактов, которые могут помочь в анализе. Именно поэтому никогда не стоит игнорировать исследование файла подкачки. Даже если есть у вас есть все необходимые данные — все равно исследуйте pagefile.sys. Практика показывает, что там может находиться что-то недостающее и важное.

Страница не найдена

Документы

Моя библиотека

раз

• • Моя библиотека

  ""

  ×

  ×

  Настройки файлов cookie .

  Страница не найдена

  Документы

  Моя библиотека

  раз
  • • Моя библиотека

    ""

    ×

    ×

    Настройки файлов cookie .

    c - Почему функция подкачки работает только при использовании указателей?

    Переполнение стека
    1. Около
    2. Товары
    3. Для команд
    1. Переполнение стека Общественные вопросы и ответы
    2. Переполнение стека для команд
    .

    Как оптимизировать файл подкачки Windows

    Это один из тех вопросов, который пару раз в год поднимает уродливую голову, каждый издает какой-то хрюкающий звук, никакого реального вывода не делается, и о нем забывают, пока следующая ошеломленная жертва не задаст его снова и снова.

    Этот вопрос касался файла подкачки Windows, он же файл подкачки, он же виртуальная память. На протяжении многих лет мы слышали все так называемые лучшие методы; нет файла подкачки, фиксированный файл подкачки, файл подкачки, управляемый системой, в основном разделе, в собственном разделе, в два раза больше системной памяти, в три раза больше системной памяти, фрагментировано, дефрагментировано...

    Огромной причиной всего этого является исторический подход Microsoft к решению этой проблемы и реализации виртуальной памяти в Windows. Тот факт, что так много людей называют это неправильным, сам по себе свидетельствует о том, насколько плохо изучен этот предмет, особенно если учесть, что виртуальная память была реализована в Windows с версии 3.0 и существует гораздо дольше, чем это обычно в компьютерном мире.

    Итак, мы решили, что пора всесторонне изучить все различные сценарии и посмотреть, какой из них, если таковой имеется, на самом деле является оптимальным.По пути мы многому научимся и, как мы увидим, предложим несколько довольно новых решений, которые чрезвычайно полезны, помимо единственной цели - получить оптимизированный файл подкачки.

    Итак, независимо от того, думаете ли вы, что все это знаете, или если вы никогда раньше не слышали о файле подкачки, мы думаем, что вы узнаете что-то новое на этом пути. От того, как лучше всего настроить файл подкачки, как избежать обычных ловушек, до некоторых интригующих уловок, о которых просто чертовски удобно знать.

    Что люди понимают под файлом подкачки?

    Когда кто-то упоминает вам файл подкачки или файл подкачки, о чем они говорят? Что ж, технически Windows 9x имеет файл подкачки WIN386, а Windows NT / 2000 / XP / Vista / 7 использует файл PAGEFILE.

    Вы можете понять, почему эти две фразы используются как синонимы. Однако на этом путаница не заканчивается. Все это связано с системой виртуальной памяти Windows, о которой мы на самом деле говорим.

    Виртуальная память позволяет ОС виртуализировать пространство физической памяти на другом носителе, обычно на жестком диске. Для этого как ядро ​​ОС, так и процессор, на котором оно работает, должны поддерживать эту функцию.

    Более 20 лет назад это могло быть проблемой, но не сегодня.Все дело в том, что когда приложение запрашивает блок памяти, оно может видеть, что ему предоставляется блок реальной памяти. На самом деле только часть или совсем ничего из этого может быть «реальным», а остальное временно виртуализировано на жестком диске.

    Если приложение запрашивает память, которая хранится в этом виртуальном мире, генерируется «ошибка страницы», виртуальная память переключается на реальную память фрагментами, называемыми «страницами», и все продолжается.

    Основная причина, по которой это полезная вещь, была обнаружена еще в те времена, когда объем реальной памяти, к которой мог получить доступ процессор, был ограничен всего лишь мегабайтами.

    Система виртуальной памяти обычно работает со страницами размером 4 КБ, которые загружаются и выгружаются из реальной памяти в целом. Это позволило процессору, который может быть ограничен всего 4 МБ реальной физической памяти, адресовать потенциально гигабайты виртуальной памяти, хотя и с этим хранилищем данных на жестком диске.

    Даже сегодня системам с 2 ГБ памяти может легко потребоваться виртуальная память, и для большинства людей, работающих с 32-разрядными версиями Windows, 4 ГБ является практически доступной физической памятью.Так что, хотя это большой объем памяти, для запуска ресурсоемких приложений, таких как почтовый клиент, пакет программ для повышения производительности, программное обеспечение для редактирования изображений, антивирусные программы и т. Д., Это может просто уйти.

    Таким образом, виртуальная память все еще остается проблемой, даже для ПК с 4 ГБ установленной физической памяти, исходный вопрос все еще остается в силе: какова лучшая конфигурация для вашего файла подкачки Windows, если она вам вообще нужна?

    План состоит в том, чтобы протестировать целый ряд сценариев, некоторые из них типичны, а другие нетипичны, чтобы выявить оптимальную конфигурацию для вас.

    .

    Страница не найдена

    Документы

    Моя библиотека

    раз
    • • Моя библиотека

      ""

      ×

      ×

      Настройки файлов cookie .

      Как поменять местами путь к файлу и запросы из кода Java

      Переполнение стека
      1. Около
      2. Товары
      3. Для команд
      1. Переполнение стека Общественные вопросы и ответы
      2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
      3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
      4. Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
      .

      ---

      Смотрите также

      • 
        Как накрутить уникальные скачки файла
      • 
        Программа как сжать pdf файл
      • 
        Как разархивировать mdf файл
      • 
        Как изменить формат файла на jpg
      • 
        Как сильно сжать pdf файл
      • 
        Что такое pdf файл и как с ним работать
      • 
        Как скинуть файлы с xiaomi на компьютер
      • 
        Пропали файлы с флешки как восстановить
      • 
        Как удалить temp файлы в windows 7
      • 
        Как распечатать файл xls на одной странице
      • 
        Как нарезать mp3 файл