हालांकि मुझे पूरा यकीन नहीं है कि इसका उद्देश्य क्या है, ऐसा लगता है कि इसका उपयोग वर्तमान में उपयोग की जाने वाली सामग्री को संग्रहीत / कैश करने के लिए किया जाता है।
यदि आप यह देखने के लिए उत्सुक हैं कि अंदर क्या है, तो आप रनिंग विंडोज सिस्टम से लॉक किए गए फाइल जैसे swapfile.sys या pagefile.sys का उपयोग कर प्राप्त कर सकते हैं FGET
(फॉरेंसिक गेट बाय HBGary)।
निम्न आदेश चलाएँ (व्यवस्थापक के रूप में):
FGET -extract% systemdrive% \ swapfile.sys OUTPUT_PATH
जिसके बाद आप उपयोग करके एक स्ट्रिंग विश्लेषण कर सकते हैं Strings
। मेरे सिस्टम पर swapfile.sys के भीतर , मुझे मिली अन्य चीजों में:
मेरा ईमेल पता, कई ईमेल और ईमेल पते, पर्यावरण चर, मेरे द्वारा देखे गए वेब पेजों से आंशिक सामग्री, mimetype स्ट्रिंग्स, उपयोगकर्ता एजेंट स्ट्रिंग्स, XML फ़ाइलें, URL, IP पते, उपयोगकर्ता नाम, लाइब्रेरी फ़ंक्शन नाम, एप्लिकेशन प्राथमिकताएँ, पथ स्ट्रिंग आदि।
मैंने सामान्य छवि प्रारूपों को देखने के लिए फ़ाइल को तराशने की कोशिश की और कई जेपीईजी और पीएनजी पाए जिनमें एप्लिकेशन आइकन, वेबपेज संसाधन, कई प्रोफ़ाइल चित्र, मेट्रो ऐप से छवि संसाधन आदि शामिल थे।
यदि
FGET
आप के लिए काम नहीं करता है, का उपयोग करके देखें
ifind
और
icat
से
खोजी कुत्ता किट । आप के लिए MFT प्रविष्टि नंबर मिल सकता है
swapfile.sys का उपयोग कर
ifind
इस प्रकार है:
ifind -n /swapfile.sys \\। \% systemdrive%
एक बार जब आपके पास इनोड नंबर होता है, तो आप icat
निम्नानुसार फाइल को पुनः प्राप्त कर सकते हैं:
icat \\। \% systemdrive% INODE_NUMBER> OUTPUT_PATH
उदाहरण के लिए:
C: \> ifind -n /swapfile.sys \\। \% Systemdrive%
1988
C: \> icat \\। \% Systemdrive% 1988>% systemdrive% \ swapfile.dmp
नोट: आपको एक उन्नत कमांड प्रॉम्प्ट से दोनों कमांड चलाने की आवश्यकता है (यानी cmd
प्रशासक के रूप में चलाएं )