Pagefile swapfile

Содержание

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

Pagefile swapfile
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс.

Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования.

Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки. Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности. Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт. Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager: Видно, что это скрытый системный файл, который так просто не скопировать. Как тогда получить этот файл? Сделать это можно несколькими способами:

  • если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана
  • если есть цифровая копия накопителя или же сам файл — просто копируем файл или работаем с ним напрямую.

Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования). На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.
Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО. Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова: Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем.

В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой).

Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.
А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого. Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики? В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации. Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе. При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке. Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач. В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов): В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:
Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения. Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):

Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми). Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):
И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие. Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:

  • sekurlsa::logonPasswords — извлечение логинов и паролей учетной записи
  • token::elevate — повышение прав доступа до SYSTEM или поиск токена администратора домена
  • lsadump::sam — получение SysKey для расшифровки записей из файла реестра SAM
  • log Result.txt — файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):

Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys: На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером: Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования. В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация. Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX. Ниже несколько примеров того, что обнаружили специалисты:

Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути). Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец). Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:
В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации. Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:
Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки: А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

Итак, pagefile.sys действительно может содержать большое количество различных артефактов, которые могут помочь в анализе. Именно поэтому никогда не стоит игнорировать исследование файла подкачки. Даже если есть у вас есть все необходимые данные — все равно исследуйте pagefile.sys. Практика показывает, что там может находиться что-то недостающее и важное.

Источник: https://habr.com/ru/company/group-ib/blog/512728/

Файлы Swapfile.sys Hiberfil.sys Pagefile.sys

Pagefile swapfile

Разведём по сторонам файлы Swapfile.sys Hiberfil.sys Pagefile.sys: что и для чего служит, какую функцию в себе несут, и какую по важности роль они в производительности вашего компьютера играют?

Swapfile.sys Hiberfil.sys Pagefile.sys: один “лишний”?

В операционной системе Windows нехватку системных ресурсов активно поддерживает pagefile.sys. Система обращается к нему (если он создан) в тот момент, когда оперативная память перестаёт справляться с поставленными задачами, а точнее перераспределять ресурсы RAM.

Кроме того, в Windows по умолчанию выставлен режим Гибернации, который позволяет сохранить все “ядрёные” процессы (со стороны ядра Windows), равно как и запущенные со стороны, прямо на жёсткий диск. После нажатия на кнопку старта компьютера этот файл помогает загрузиться системе быстрее, чем при обычной загрузке с “нуля”. Файл называется hiberfil.sys.

______________________________________________________________

Казалось бы, всё просто и понятно. Однако с появлением Windows 8/10 ситуация немного усложнилась.

И pagefile и hiberfil в системе прописаны прочно, пока активированы функции файла подкачки и быстрого запуска:

Но, как видно из последнего рисунка, режим гибернации (а значит и сам файл) прочно завязан с функцией быстрого запуска: нет быстрого запуска – гибернация не работает.

Хотя сам файл hiberfil останется на месте, пока вы от него не избавитесь принудительно (команда абзацем ниже).

А с вот как раз с быстрым запуском у пользователей Windows 10 возникают постоянные проблемы: она является причиной многих системных багов (File Explorer теряет функции навигации, не работает Панель задач и т.п.).

Далее. Если выставлять все настройки указанных служб и функций по умолчанию, наблюдается характерный факт: hiberfil занимает 70-75% RAM, а pagefile достаются остальные 25-30%.

Видимо, режиму гибернации на выгрузку драйверов ядра и приложений требуется немало ресурсов, но эти ресурсы система отнимает у файла подкачки. Удалите hiberfil.

sys (для этой цели в командной консоли cmd от имени админа введите команду

powercfg.exe -h off файл должен исчезнуть) и посмотрите через некоторое время на файл подкачки. Его значение, выбранное Windows, будет приближаться к размеру физической RAM. Однако всё зависит от фактического объёма оперативной памяти: чем ниже объём, тем больше в процентном исчислении будет “виртуалка”.

pagefile разрастается после отключения быстрого запуска и автонастройки виртуальной памяти

А что же в итоге?

Какой из этого вывод? Если вы не пользователь ноутбука, который постоянно рискует потерять данные из-за севшей батареи, от гибернации лучше отказаться в пользу файла подкачки, который несёт в себе куда больше пользы.

В любом случае помните о распределении ресурсов компьютера/ноутбука при активированной функции быстрого запуска: она потребляет немало ресурсов. Беспроблемной её работой могут похвастаться только владельцы “топовых” сборок.

Как запретить создание файла pagefile.sys?

Причём здесь swapfile.sys?

С двумя первыми ситуация более-менее прояснилась. Что же такое swapfile.sys? Его функция аналогична файлу подкачки, однако действие изначально было направлено на приложения из состава Windows Store. Но не только. И несмотря на схожесть в цели, у них разные алгоритмы.

Во время сеанса Windows “имеет ввиду” оба файла: pagefile и swapfile. И первый содержит в себе сведения о программах, которые давненько пользователем не запускались и которые можно “отнести на склад” – мы можем регулировать только его размеры.

А во втором – информация о приложениях, которым именно не хватило оперативной памяти.

Разницу чувствуете? При всём том оба файла по-разному работают на различных сборках: pagefile зарекомендовал себя на производительных машинах, второй чаще должен включаться в работу именно на устаревающих компьютерах или планшетах под управлением Windows. И не забывайте, что оба файла это прежде всего пространство жёсткого диска.

А значит фрагментации подвержены оба, причём этот процесс почти мгновенный, и огромные, выделенные размеры под файлы могут из-за фрагментированности сходят постепенно на нет. Описанное является отправной точкой при решении проблем с производительностью и некоторыми ошибками с оперативной памятью.

Swapfile.sys Hiberfil.sys Pagefile.sys: выводы

Мы уяснили, что Swapfile.sys Hiberfil.sys Pagefile.sys играют несомненную роль в производительности системы.

Однако каждый из них выполняет свою функцию по-своему, что зависит от состояния системы в целом и аппаратных возможностей компьютера.

Так что помните – выставляемые функции для оптимизации Windows могут не сработать или cработать не на полную мощь. Поддерживайте систему в надлежащем состоянии.

Успехов.

Источник: https://computer76.ru/2018/10/23/swapfile-sys-hiberfil-sys-pagefile-sys/

Что такое Swapfile.sys и как его настроить, удалить?

Pagefile swapfile

Пользователям операционных систем Windows полезно будет узнать, что список скрытых системных файлов, начиная с Windows 8.1, и выше (windows 10) дополнился еще одним файлом — swap. Знание того что представляет собой swapfile и для чего он используется, поможет избежать многих проблем.

Чем он отличается от остальных и для чего используется? 

По своему назначению swapfile довольно схож с файлом подкачки pagefile.sys. Он используется для временного хранения неиспользуемых в данный момент метро — приложений.

Главное его отличие от других файлов sys заключается в том, что в случае обращения к хранящемуся в нем приложению, система практически сразу его открывает.

Связано это с тем, что приложение хранится в файле в «полном» состоянии, что и позволяет системе запустить его без дополнительного обращения к жесткому диску.

Все варианты настройки swapfile

Поскольку swapfile аналогичен файлу подкачки, все изменения относительно одного касаются и другого. Оба они относятся к виртуальной памяти компьютера, поскольку выполняют довольно схожие функции.

То есть увеличить/уменьшить или удалить swapfile можно только совместно с pagefile.sys. По умолчанию система автоматически их запускает и выделяет под них определенное количество места на жестком диске.

При несогласии с данными системы пользователь может внести в них следующие изменения:

  • увеличить/уменьшить объем;
  • отключить;
  • перенести на другой жесткий диск.

Как увеличить/уменьшить объем виртуальной памяти?

Для того чтобы иметь возможность вносить в файл какие-либо изменения нужно запустить дополнительные параметры системы. Сделать это можно несколькими способами:

  • путем запуска из панели меню пуск — система — дополнительные параметры системы;
  • из панели меню пуск, набрав в окне поиска «производительность»;
  • из панели меню «Мой компьютер» – свойства — дополнительные параметры системы.

Обратите внимание, что при запуске параметров через окно поиска, количество необходимых действий несколько ниже, чем при использовании других способов. После открытия окна нужно перейти во вкладку «Дополнительно» и нажать кнопку «Изменить».

Если в систему ранее не вносились какие-либо изменения, касающиеся виртуальной памяти компьютера, в открывшемся окне будет стоять галочка, разрешающая системе самой определять размеры файла.

Убрав ее можно будет самостоятельно изменить его размеры, прописав их вручную и нажав кнопку «Задать».

Как отключить виртуальную память?

Удалить swapfile с компьютера физически невозможно, но его можно отключить. При этом место на жестком диске без сомнения увеличится, а вот производительность ПК может заметно ухудшиться.

Отключается он там же, где и изменяются его размеры, правда выбор действий будет немного другим. Вместо указания объемов виртуальной памяти, нужно выбрать пункт «Без файла прокачки» и нажать кнопку «Задать».

Важно: не стоит после проделанных действий пытаться проверить исчезла ли проблема, ведь до выполнения необходимой перезагрузки ПК, swapfile будет на месте. 

Как перенести swapfile на другой жесткий диск?

Настроить файл подкачки можно и путем переноса его на другой винчестер. Обратите внимание: речь идет именно о жестком или SSD диске, но никак не о логическом разделе на нем. Перенос его на отдельный винчестер позволит сэкономить место на системном жестком диске, и сохранить при этом производительность системы.

Процесс переноса довольно прост.

Нужно путем выбора в виртуальной памяти компьютера на диске С удалить swapfile, выбрав пункт «Без файла прокачки» и сохранив результат нажатием кнопки «Задать», включить (добавить) его на другом винчестере. При указании размеров файла желательно выставить автоматический режим выбора размера или вручную указать наиболее оптимальный именно для вашего компьютера.

Как определить оптимальный размер файла?

Прежде чем браться самостоятельно изменять размеры, пытаясь сэкономить хоть немного места на жестком диске или ускорить производительность компьютера, стоит изучить этот вопрос немного глубже. Поскольку пользователи используют компьютер по разным назначениям, то и оптимальный размер у каждого будет свой.

Для того чтобы выяснить каким он является у вас, запустите несколько наиболее важных для вас программ, игр и видео одновременно. Далее откройте диспетчер задач, и перейдите на вкладку «Быстродействие».

Вот тут нужно посмотреть насколько загружена оперативная память компьютера, увеличить это число вдвое, а затем вычесть столько Гб, сколько фактически установлено на компьютере.

Например, на данный момент используется 7Гб оперативной памяти, а на компьютере установлено всего 8, тогда оптимальный размер будет равен 7+7-8=6Гб.

Как проверить исчез ли swapfile с жесткого диска?

После отключения и перезагрузки компьютера можно проверить исчез ли файл с жесткого диска. Для этого нужно отобразить все скрытые системные файлы. Сделать это можно в окне проводника, выполнив следующий порядок действий: файл — изменить параметры папок и поиска — вид — скрывать защищенные системные файлы.

После выполнения этих действий скрытые системные данные, если они не отключены, отобразятся в корне диска С.

Ниже приведено видео по теме. В нем коротко рассказывается и наглядно показываются все возможные действия со swapfile.

Заключение

Swapfile, конечно, по своему назначению довольно схож с pagefile.sys, но у них имеются и различия, касающиеся скорости записи и чтения. Оба файла относятся к виртуальной памяти компьютера и, удалить swapfile или pagefile, физически невозможно. Единственные манипуляции, которые допускает система — это их отключение и изменение размеров.

Источник: https://www.windxp.com.ru/1023-chto-takoe-swapfile.htm

Что такое Swapfile.sys и как его удалить?

Pagefile swapfile

В Windows 10 (и 8) используется новый файл виртуальной памяти с именем «swapfile.sys». Он хранится на системном диске вместе с файлами «pagefile.sys» и «hiberfil.sys». Но зачем нужны одновременно и «swapfile.sys», и «pagefile.sys»?В «swapfile.

sys» система перемещает некоторые типы данных, которые в текущий момент не используются. Пока что этот файл используется для данных так называемых универсальных приложений (в прошлом Metro). Возможно, в будущем туда будут записываться и другие данные.

Swapfile.sys, Pagefile.

sys и Hiberfil.sys

Файл «swapfile.sys», наряду с «pagefile.sys» и «hiberfil.sys», хранится на системном диске – по умолчанию это «C:\». Увидеть его можно только в том случае, если в настройках включена опция «Показывать скрытые файлы и папки» (Show hidden files and folders) и отключена опция «Скрывать защищенные системные файлы» (Hide protected operating system files).

В файле «hiberfil.sys» система сохраняет все содержимое оперативной памяти при переходе в спящий режим. Он также используется для новой функции «гибридной загрузки», благодаря которой запуск Windows 8 и 10 значительно ускорился. А файл «pagefile.sys» предназначен для выгрузки данных из оперативной памяти, когда место в ней заканчивается.

Зачем нужен файл «swapfile.sys»?

Официальной информации от Microsoft на этот счет немного, но мы можем составить ответ из публикаций на форумах и в блоге компании.Если коротко, файл «swapfile.

sys» используется для выгрузки данных новых приложений, которые в официальной терминологии уже не раз меняли название: универсальные приложения, приложения из Магазина, Metro-приложения, современные приложения, приложения Windows 8, приложения в стиле интерфейса Windows 8, и т. д, и т. п.

Эти приложения управляются иначе, чем настольные программы для Windows. Система подходит к управлению их памятью более интеллектуально.

Вот как описывает это сотрудник Microsoft Блэк Моррисон (Black Morrison):

Может появиться вопрос: зачем нам еще один виртуальный файл подкачки? Дело в том, что с появлением современных приложений нам понадобился новый способ управления их памятью вне рамок традиционного метода, предусматривающего использование виртуальной памяти/файла подкачки.

Windows 8 может, по сути, записать весь набор (приватных) рабочих данных неактивного современного приложения на диск, чтобы высвободить оперативную память, когда системе ее не хватает.

Это то же самое, что перевод отдельного приложения в спящий режим и возобновление работы, когда пользователь снова обращается к приложению.

В такой ситуации Windows 8 использует механизм приостановки/возобновления современных приложений для выгрузки и загрузки рабочих данных приложения.

Вместо стандартного файла «pagefile.sys» данные неактивных универсальных приложений выгружаются в файл «swapfile.sys».Дополнительные подробности сообщает сотрудник Microsoft Павел Лебединский (Pavel Lebedinsky):

Приостановка/возобновление Metro-приложения – это лишь один сценарий использования, в будущем могут появиться и другие.

Файл «swapfile» и обычный «pagefile» отличаются по способам использования и требованиям к пространству на диске, возможности динамического роста, политикам чтения/записи и т. д. Наличие двух отдельных файлов упрощает работу.

Короче говоря, стандартный файл подкачки используется для обычных задач Windows, а новый каркас приложений Microsoft предусматривает использование отдельного файла для интеллектуальной выгрузки данных новых приложений.

Как удалить файл «swapfile.sys»?

Этот файл совсем не велик – его максимальный размер не должен превышать 256 Мбайт. Поэтому удалять его нет никакой необходимости. Даже если речь идет о планшете с небольшим объемом внутреннего накопителя – ведь файл «swapfile.sys», скорее всего, позволяет повысить быстродействие устройства.Файл «swapfile.sys» управляется в связке с «pagefile.sys».

При отключении последнего отключается и «swapfile.sys».Мы этого делать, однако, не рекомендуем. Отключение файла подкачки – плохая идея.Но если очень хочется, можно его все-таки удалить.

Для этого откройте меню «Пуск» (Start), введите в поиске ключевое слово «производительность» и выберите в результатах ссылку «Настройка представления и производительности системы» (Adjust the appearance and performance of Windows).

В окне «Параметры быстродействия» (Performance Options) откройте вкладку «Дополнительно» (Advanced) и в разделе «Виртуальная память» (Virtual memory) нажмите кнопку «Изменить» (Change).

Снимите флажок «Автоматически выбирать объем файла подкачки» (Automatically manage paging file size for all drives), выделите диск, выберите опцию «Без файла подкачки» (No paging file) и нажмите «Задать» (Set). После перезагрузки файлы «pagefile.sys» и «swapfile.sys» будут удалены с выбранного диска.

После этого есть возможность воссоздать файл подкачки на другом диске, и тогда Windows будет хранить все файлы виртуальной памяти там. Это позволяет, например, продлить срок службы твердотельного накопителя за счет переноса файлов подкачки на механический жесткий диск.Нажмите «OK» и перезагрузите компьютер. Файлы «swapfile.sys» и «pagefile.sys» после этого исчезнут. Чтобы воссоздать их, снова откройте это же окно и включите опцию «Размер по выбору системы» (System managed size) на диске «C:\» или другом.

Chris Hoffman

Источник: http://www.winblog.ru/windows-9/1147770169-07091501.html

10 фактов про swapfile.sys — Что это за файл и можно ли его удалить

Pagefile swapfile

10 фактов про swapfile.sys — Что это за файл и можно ли его удалить

Обладатели операционных систем Windows от 8.1 и выше могли заметить, что список системных файлов дополнился еще одним – swapfile.sys.

За что отвечает этот файл и нужен ли он в системе, знать нужно всем пользователям ПК.

Что такое swapfile?

Swapfile

Помимо pagefile.sys в мониторе ресурсов имеется swapfile.sys.

Все это файлы подкачки и используются исключительно для метро-приложений.

Стандартно такие файлы хранятся в корневой папке жесткого диска и не превышают по объему 256 Мб.

При желании пользователя, объем памяти свапфайла можно увеличить.

Зачем в системе появился третий файл подкачки?

Потребность в третьем файле возникла после того, как потребовался новый способ управления памятью, обусловленный появлением большого количества приложений с Metro-интерфейсом.

Такие приложения запрашивают чуть больше объема памяти для своей работы.

Чтобы увидеть swap-файл сначала требуется включить отображение системных файлов, находящихся под защитой.

Отобразить их можно следующим образом: Панель управления – Параметры папок.

В параметрах папок находим вкладку «Вид» и открываем ее, снимаем маркер с пункта «Скрывать защищенные системные файлы» и сохраняем настройки нажатием кнопки ОК.

При нехватке RAM во время работы приложений, система автоматически записывает данные в swapfile.sys.

Таким образом стало возможно приостанавливать неактивные приложения для разгрузки «оперативы».

Восстановление приложений происходит автоматически после освобождения RAM.

Как работает swapfile?

Работу свапфайла можно разобрать поэтапно:

1. PLM (Process Lifetime Manager – Диспетчер жизненного цикла) высчитывает объем недостающей виртуальной памяти и отправляет запрос к MM (Memory Manager – Диспетчер памяти) на освобождение рабочего набора одного из процессов, который отвечает за обработку Metro-приложений.

Обработка и вычисление нехватки памяти

2. Диспетчер памяти обрабатывает запрос, затем дает команду перемещения страницы памяти в список последних страниц с изменениями операционной системы.

Все содержимое страницы автоматически копируется и сохраняется на диске.

Обработка запроса и перемещение страниц памяти

3. Набор страниц записывается в поочередном порядке на измененную страницу списка, как было указано от ММ.

Запись производится в фоновом режиме и срабатывает только при нехватке достаточного объема виртуальной памяти.

Запись страниц памяти

4. После обновления приложения рабочий список загружается на жесткий диск.

Те страницы памяти, которые удалили из процесса все равно останутся нетронутыми в списке ожидания.

По-другому можно сказать, что они остались в КЭШе полезных страниц, которые при необходимости можно использовать к другим приложениям.

В случае, если страницы памяти потребуются «родному» приложению, система сможет быстро их вернуть.

Загрузка сохранений в рабочий список

Где находится свапфайл?

Найти swapfile.sys можно в корневой папке жесткого диска, на котором установлена операционная система.

Большинство системных файлов защищены и скрыты.

Поэтому чтобы найти его, требуется отобразить все скрытые системные файлы.

Можно настроить отображение скрытых файлов не только тем способом, который мы описали выше. Есть еще один вариант.

Для этого переходим в корневую папку жесткого диска и в левом верхнем углу открываем меню «Файл», в котором нужно выбрать пункт «Изменить параметры папок и поиска».

Как отобразить скрытые защищенные системные файлы

В открывшемся окне открываем вкладку «Вид», снимаем галочку с пункта «Скрывать защищенные системные файлы» и сохраняем изменения нажатием кнопок Применить и ОК.

Как отобразить скрытые защищенные системный файлы

После этого в корневой папке отобразятся не только файл подкачки swapfile.sys, но и другие немаловажные системные файлы.

Удалять такие файлы нельзя ни в коем случае! Это чревато риском поломки для системы вашего компьютера. В противном случае придется переустанавливать операционную систему полностью.

Отличие и принадлежность

На самом деле swapfile является аналогом pagefile. Они оба используются для временного хранения данных приложений, разгрузки оперативной памяти.

От других файлов с расширением .SYS их отличает высокая скорость отклика приложений, хранящихся в свап- и пэйджфайле.

Варианты настройки

При необходимости пользователю предоставляется возможность изменить объем доступного места, отключить или удалить swap-файл, а также перенести его на другой жесткий диск.

Однако изменить или удалить его можно только одновременно с pagefile.

По умолчанию в системе установлена функция автоматического запуска файла и выделения памяти под них на жестком диске.

Если пользователь не согласен со стандартными настройками, ему предоставляется возможность их изменить.

Как изменить объем виртуальной памяти

Изменить объем виртуальной памяти можно несколькими способами:

  • Меню «Пуск» — «Система» — «Дополнительные параметры системы».
  • В строке поиска меню «Пуск» вводим «Производительность» (без кавычек).
  • Меню «Мой компьютер» — «Свойства» — «Дополнительные параметры системы».

Второй способ поиска (вводе в строке поиска)

Если открывать параметры через строку поиска, требуется выполнить меньше действий, чем при использовании других способов.

В открывшемся окне требуется перейти во вкладку «Дополнительно», затем ЛКМ нажать кнопку Изменить.

Окно параметров системы

Если ранее вы не производили изменений в настройках виртуальной памяти системы, в новом окне будет стоять маркер на пункте «Автоматически выбирать объем файла подкачки».

Если снять этот маркер, вы сможете самостоятельно по своему желанию изменить размер допустимой памяти.

Для этого вручную пропишите разрешаемый объем, затем нажмите кнопку Задать.

Изменение объема допустимой виртуальной памяти

Отключение виртуальной памяти

Удалить свапфайл полностью с компьютера нельзя, но можно его отключить до того момента, как не возникнет необходимость в расширении ОП.

В окне изменения параметров виртуальной памяти следует поставить маркер на пункт «Без файла подкачки», подтвердить действие нажатием кнопок Задать и ОК, после чего перезагрузить систему компьютера.

Отключение свапфайла

Стоит отметить, что объем свободной памяти на жестком диске увеличится, а производительность операционной системы может значительно снизиться.

Для восстановления swapfile требуется перейти в это же окно параметров и поставить маркер на пункт «Автоматически выбирать объем файла подкачки», либо задать размер виртуальной памяти, затем выполнить перезагрузку системы.

После перезапуска файл подкачки восстановится.

Перенос swapfile на другой жесткий диск

Произвести настройку свапфайла можно также при помощи переноса на другой жесткий диск.

В данном случае имеется в виду именно другой винчестер, а не логический раздел одного и того же диска.

При переносе swap-файла экономится место на диске с системой, но производительность при этом не меняется.

Для переноса требуется сделать символьную ссылку.

mklink c:\\swapfile.sys g:\\swapfile.sys Вместо буквы g можно поставить любую другую, которая соответствует необходимому вам диску.

После всех произведенных манипуляций требуется произвести перезагрузку операционной системы.

Определение оптимального объема виртуальной памяти

Перед изменением объема виртуальной памяти следует учесть, для чего вы увеличиваете производительность вашего компьютера.

Если это офисный ПК или ноутбук для работы, слишком сильно увеличивать память не стоит.

Для игрового же компьютера следует учитывать объем памяти самого жесткого диска.

Для определения оптимального объема памяти, запустите на компьютере сразу несколько приоритетных программ, игр и/или видео.

Единовременным нажатием клавиш Ctrl+Alt+Delete вызовите диспетчер задач и перейдите во вкладку «Быстродействие».

В этом окне требуется выяснить, насколько загружена ОП, затем перемножить это число на 2 и вычесть фактически установленный объем памяти.

Например, у вас загружено 5 Гб оперативной RAM, а фактически установлено 6 Гб. Вычисляем: (5+5)-6=4.

Ровно такой объем дополнительной виртуальной памяти будет оптимальным для вашего компьютера.

Проверка swapfile после отключения

После того, как вы отключили файл подкачки можно проверить, исчез ли он из системы компьютера.

Для этого сначала требуется включить отображение всех скрытых системных файлов.

Для отображения откройте проводник и пройдите по следующему пути: «Файл» — «Изменить параметры папок и поиска» — «Вид» — «Скрывать защищенные системные файлы».

Сохраняем изменения нажатием кнопок Применить и ОК.

Проводник

Выключить скрытие системных файлов

Если вы правильно отключили свапфайл, он не отобразится в системной папке.

Проверить наличие свапфайла

Достоинства и недостатки Swapfile

Достоинства:

  • Экономия бюджета. Благодаря свапфайлу можно какое-то время обойтись без покупки дополнительных плат RAM. Если расширение требуется на определенное время, можно воспользоваться swapfile.sys.
  • Стабильность производительности.

    Нехватка RAM сильно тормозит работу системы, что, однозначно, вызывает сбои. Если на жестком диске имеется достаточный объем памяти, можно расширить виртуальную память до оптимального объема.

  • Отличное временное решение.

    Если для запуска программ с высокими требованиями вам не хватает оперативной памяти, расширение swapfile.sys окажет вам временную необходимую поддержку.

Недостатки:

  • Низкая скорость чтения. При помещении свапфайла не на системный жесткий диск, возможно увеличение времени ожидания отклика.

  • Swapfile является всего лишь поддержкой RAM. Заменить или дополнить полноценно свап ее не сможет.
  • Затраты объема памяти жесткого диска. Если на жестком диске недостаточно свободного места, свап мало чем поможет в решении проблем нехватки RAM.

    Приобрести новую ОП придется все равно.

  • Высокая вероятность поломки компьютера. При постоянном использовании свапфайла в качестве расширения ОП может произойти сбой в системе, из-за этого вашему компьютеру может потребоваться переустановка операционной системы или же комплексный ремонт.

Swapfile позволяет временно расширить объем оперативной памяти, однако не решает проблему дефицита доступного места должным образом.

Использовать свап можно только как временное решение.

При этом есть опасность появления ошибки BIOS, так как это программный «разгон» компьютера, что изначально не предусмотрено операционными системами.

Такое решение рекомендовано для временного использования каких-либо «тяжелых» программ на офисных компьютерах (например, такие программы как Adobe Premier, Photoshop или CorelDraw).

Для игровых компьютеров подобное решение не только бесполезно, но и опасно, так как эти компьютеры используют системные ресурсы своих устройств на пределе возможностей.

Использование свапфайла может привести как к некорректной работе, так и к выходу из строя оборудования вашего ПК.

Мы не рекомендуем производить какие-либо настройки без специальных знаний и умений, так как вы можете нанести непоправимый вред вашему компьютеру.

Если вы сомневаетесь в своих навыках, обратитесь в сервисный центр, где специалисты помогут разобраться в вашей проблеме, а также проконсультируют вас или самостоятельно произведут настройку системы вашего компьютера.

Обращайтесь только в лицензированные сервисные центры, которые имеют хорошие отзывы или работаю при компьютерных магазинах. 

Что за файл swapfile в windows 10. Можно ли его удалить?

Изучаем swapfile в windows 10

Источник

Источник: https://pomogaemkompu.temaretik.com/1551413098821192423/10-faktov-pro-swapfilesys---chto-eto-za-fajl-i-mozhno-li-ego-udalit/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.