在 Windows 8 中,C:\
- pagefile.sys - 毫不奇怪。它和我配置的页面文件大小一样大。
- swapfile.sys - 大小为 256MB
swapfile.sys这个附加文件的用途是什么?
我正在寻找权威的答案。网上已经有足够多的猜测了。
答案1
发布的答案中的几个链接最终都链接到了它,但是http://blogs.technet.com/b/askperf/archive/2012/10/28/windows-8-windows-server-2012-the-new-swap-file.aspx
似乎是一个更明确的答案:
您可能会问:“我们为什么需要另一个虚拟页面文件?”好吧,随着现代应用程序的推出,我们需要一种在传统虚拟内存/页面文件方法之外管理内存的方法。因此,“%SystemDrive%\swapfile.sys”诞生了。
当系统检测到压力时,Windows 8 可以高效地将已暂停的现代应用的整个(私有)工作集写入磁盘,以获得额外的内存。此过程类似于休眠特定应用,然后在用户切换回该应用时恢复该应用。在这种情况下,Windows 8 利用现代应用的暂停/恢复机制来清空或重新填充应用的工作集。
答案2
来自微软员工Technet 论坛。
这是系统内部使用的一种特殊类型的页面文件,用于提高某些类型的分页操作效率。它与自动转储设置无关。
暂停/恢复 Metro 风格应用程序是一种场景,将来还可能出现其他场景。
答案3
虽然我不完全确定它的用途是什么,但它看起来像是用来存储/缓存当前正在使用的内容。
如果你好奇想知道里面有什么,你可以获取锁定的文件喜欢交换文件或者页面文件系统从正在运行的 Windows 系统使用FGET(HBGary 的法医鉴定)。
运行以下命令(以管理员身份):
FGET -提取 %systemdrive%\swapfile.sys OUTPUT_PATH
之后,您可以使用以下方法执行字符串分析Strings。 之内交换文件在我的系统上,我发现了以下东西:
我的电子邮件地址、几封电子邮件和电子邮件地址、环境变量、我访问过的网页的部分内容、mimetype 字符串、用户代理字符串、XML 文件、URL、IP 地址、用户名、库函数名称、应用程序首选项、路径字符串等。
我也试过雕刻文件寻找常见的图像格式,发现了几个 JPEG 和 PNG,包括应用程序图标、网页资源、几个个人资料图片、来自 Metro 应用程序的图像资源等。
如果
FGET对你不起作用,请尝试使用ifind和icat从侦探工具包。您可以找到 MFT 条目编号交换文件使用ifind如下:
ifind -n /swapfile.sys \\.\%系统驱动器%
icat一旦获得了 inode 编号,就可以使用下列方法检索文件:
icat \\.\%systemdrive% INODE_NUMBER > OUTPUT_PATH
例如:
C:\>ifind -n /swapfile.sys \\.\%systemdrive% 1988 C:\>icat \\.\%systemdrive% 1988 > %systemdrive%\swapfile.dmp
笔记:您需要从提升的命令提示符运行这两个命令(即cmd以管理员身份运行)