Что такое pagefile sys windows 10 — Ваш верный помощник с OS Windows

Прежде всего о том, что такое pagefile.sys в Windows 10, Windows 7, 8 и XP: это файл подкачки Windows. Зачем он нужен? Дело в том, что какое бы количество оперативной памяти не было установлено на вашем компьютере, не всем программам для работы будет ее достаточно. Современные игры, видео и графические редакторы и многое другое программное обеспечение с легкостью заполнит Ваши 8 Гб RAM и попросит еще. В этом случае и используется файл подкачки. Файл подкачки по умолчанию находится на системном диске, обычно здесь: C:\pagefile.sys. В этой статье поговорим о том, хорошая ли это идея — отключить файл подкачки и тем самым удалить pagefile.sys, а также о том, как переместить pagefile.sys и какие преимущества это может дать в некоторых случаях.

Обновление 2016: более подробная инструкция по удалению файла pagefile.sys, а также видео руководство и дополнительная информация доступны в стать Файл подкачки Windows.

Как удалить pagefile.sys

Один из главных вопросов пользователей — можно ли удалить файл pagefile.sys. Да, можно, и сейчас я напишу о том, как это сделать, а далее поясню, почему этого делать не стоит.

Дополнительные параметры системы Windows

Итак, для того, чтобы изменить параметры файла подкачки в Windows 7 и Windows 8 (и в XP тоже), зайдите в Панель управления и выберите пункт «Система», затем в меню слева — «Дополнительные параметры системы».

Затем, на вкладке «Дополнительно» кликните кнопку «Параметры» в разделе «Быстродействие».

В параметрах быстродействия откройте вкладку «Дополнительно» и в разделе «Виртуальная память» нажмите «Изменить».

Настройки pagefile.sys

По умолчанию, Windows автоматически управляет размером файла pagefile.sys и, в большинстве случаев это является оптимальным вариантом. Тем не менее, если вы хотите удалить pagefile.sys, вы можете это сделать, сняв галочку «Автоматически выбирать объем файла подкачки» и установив пункт «Без файла подкачки». Также вы можете изменить размер этого файла, указав его самостоятельно.

Почему не следует удалять файл подкачки Windows

Есть несколько причин, по которым люди решают удалить pagefile.sys: он занимает место на диске — это первая из них. Вторая — они думают, что без файла подкачки компьютер будет работать быстрее, так как на нем и так достаточно оперативной памяти RAM.

Pagefile.sys в проводнике

Что касается первого варианта, то с учетом объемов сегодняшних жестких дисков, удаление файла подкачки навряд ли может оказаться критически необходимым. Если у Вас стало кончаться место на жестком диске, то скорее всего это говорит о том, что вы там храните что-то ненужное. Гигабайты образов дисков игр, фильмы и прочее — это не то, что обязательно держать на своем жестком диске. К тому же, если вы скачали некий Repack объемом несколько гигабайт, и установили его на компьютер, сам файл ISO можно удалять — работать игра будет и без него. Так или иначе, это статья не о том, как почистить жесткий диск. Просто, если для вас являются критичными несколько гигабайт, занимаемые файлом pagefile.sys, лучше поискать что-то другое, явно ненужное, и оно, скорее всего найдется.

Второй пункт, касающийся производительности — тоже миф. Windows может работать без файла подкачки при условии большого количества установленной оперативной памяти RAM, однако никакого положительного влияния на производительность системы это не имеет. Кроме этого, отключение файла подкачки может привести к некоторым неприятным вещам — некоторые программы, не получив достаточно свободной памяти для работы, будут сбоить и «вылетать». Некоторое программное обеспечение, например виртуальные машины, могут вообще не запуститься, если вы отключите файл подкачки Windows.

Подводя итог, нет разумных причин, чтобы избавляться от pagefile.sys.

Как переместить файл подкачки Windows и в каких случаях это может быть полезным

Несмотря на все вышесказанное об отсутствии необходимости менять стандартные настройки для файла подкачки, в некоторых случаях перемещение файла pagefile.sys на другой жесткий диск может быть полезным. Если у вас на компьютере установлено два отдельных жестких диска, один из которых системный и на нем же установлены необходимые программы, а второй содержит относительно редко используемые данные, перемещение файла подкачки на второй диск может положительно сказаться на производительности в те моменты, когда виртуальная память задействована. Переместить pagefile.sys можно там же, в настройках виртуальной памяти Windows.

Нужно учесть, что это действие разумно только в том случае, когда у Вас два отдельных физических жестких диска. Если же ваш жесткий диск разбит на несколько разделов, перемещение файла подкачки на другой раздел не только не поможет, но в некоторых случаях может и замедлить работу программ.

Таким образом, суммируя все вышенаписанное, файл подкачки — важная составляющая часть Windows и лучше бы Вам его не трогать, если Вы только точно не знаете, зачем вы это делаете.

Источник

Один из частых советов по ускорению работы Windows касается оптимизации файла подкачки. Можно задать его размер самостоятельно, переместить или вовсе удалить. Из этой статьи вы узнаете, зачем это нужно и стоит ли вообще что-либо менять.

Что такое «Файл подкачки»

Где находится файл подкачки

Как открыть настройки файла подкачки на Windows 10 и Windows 11

Как открыть настройки файла подкачки на старых версиях Windows

Что такое pagefile.sys и swapfile.sys

Как правильно настроить файл подкачки

Вывод

Что такое «Файл подкачки»

Где находится файл подкачки

Как открыть настройки файла подкачки на Windows 10 и Windows 11

Как открыть настройки файла подкачки на старых версиях Windows

Что такое pagefile.sys и swapfile.sys

Как правильно настроить файл подкачки

Вывод

Что такое «Файл подкачки»

Файл подкачки (сокращенно ФП) — это виртуальная память, которая представляет собой особый файл на жестком диске или твердотельном накопителе компьютера. Когда системе Windows не хватает оперативной памяти, то используется файл подкачки. Благодаря этому программы не выгружаются из оперативной памяти и не вылетают с ошибками.

Где находится файл подкачки

Файл подкачки имеет название pagefile.sys и находится в корне диска. Чтобы его увидеть, нужно включить отображение защищенных системных объектов. Сделать это можно так:

Откройте корневую папку нужного диска и перейдите на вкладку «Вид».
Кликните на «Параметры».
Перейдите на вкладку «Вид».
Снимите галочку с пункта «Скрывать защищенные системные файлы».
Выскочит предупреждение, выберите «Да» и далее «ОК».

Имейте в виду, что оставлять на виду системные файлы Windows небезопасно. Не забудьте затем вернуть все как было. Также можно воспользоваться сторонними файловыми менеджерами вроде Total Commander. Там показать и затем скрыть элементы можно одним щелчком мыши.

Как открыть настройки файла подкачки на Windows 10 и Windows 11

В большинстве случаев вмешательство пользователя не требуется. Но если вы все же решитесь, то сделать это можно разными способами.

Поиск Windows

Проще всего использовать «Проводник», в частности, стандартный поиск Windows:

откройте поисковую строку Windows (значок лупы на панели задач);
введите любое слово из запроса «Настройка представления и производительности системы» (операционная система «Виндовс» должна показать нужную ссылку, еще до того, как вы закончите набор фразы);
в открывшемся окне перейдите на вкладку «Дополнительно»;
в разделе «Виртуальная память» выберите «Изменить».

Win + R

Также можно воспользоваться встроенной в Windows утилитой «Выполнить», но этот путь чуть дольше:

нажмите сочетание клавиш Win + R;
введите в появившемся окне команду sysdm.cpl и нажмите Enter;
перейдите на вкладку «Дополнительно»;
в разделе «Быстродействие» выберите «Параметры»;
перейдите на вкладку «Дополнительно»;
в разделе «Виртуальная память» выберите «Изменить».

Меню «Пуск»

Найти нужное окно можно и через меню «Пуск»:

кликните правой кнопкой мыши по «Пуску» и выберите «Система» (сюда же можно попасть, если зайти в свойства значка «Этот компьютер» через правый клик мыши);
в правой части окна кликните на «Дополнительные параметры системы»;
в разделе «Быстродействие» выберите «Параметры»;
перейдите на вкладку «Дополнительно»;
в разделе «Виртуальная память» выберите «Изменить».

Как открыть настройки файла подкачки на старых версиях Windows

На более старых версиях операционной системы Windows путь отличается незначительно. Детальные инструкции прописаны ниже.

Windows XP

На Windows XP выполните следующие шаги:

нажмите правой кнопкой мыши на значке «Мой компьютер» и выберите «Свойства»;
перейдите на вкладку «Дополнительно»;
в разделе «Быстродействие» кликните на кнопку «Параметры».
на вкладке «Дополнительно» кликните на кнопку «Изменить».

Windows 7 и Windows 8.1

В седьмой и восьмой версии Windows отличия от XP минимальные:

кликните правой кнопкой мыши на значке «Мой компьютер» и выберите «Свойства»;
в левой части экрана нажмите «Защита системы» (также сюда можно попасть через команду sysdm.cpl в окне «Выполнить», которое открывается сочетанием Win + R);
перейдите на вкладку «Дополнительно» (или можно сразу перейти сюда, нажав на «Дополнительные параметры системы в предыдущем пункте)»;
выберите «Параметры» в разделе «Быстродействие».
на вкладке «Дополнительно» нажмите на кнопку «Изменить».

Что такое pagefile.sys и swapfile.sys

В Windows 8, 10 и 11 кроме pagefile.sys есть также swapfile.sys, который используется для приложений из Microsoft Store. Они взаимосвязаны, поэтому если вы отключаете файл подкачки, то оба файла пропадают. Находятся они все тоже в корневой папке диска в скрытом виде.

Как правильно настроить файл подкачки

Как правило, самостоятельно настраивать ничего не требуется. Операционная система Windows прекрасно работает и так, поэтому лучше оставить все, как задано по умолчанию. Тем не менее, некоторые вещи все же стоит знать.

Как увеличить или уменьшить файл подкачки

Если файл подкачки занимает слишком много места, то его размер можно изменить. Или, наоборот, увеличить, если возникают какие-либо неполадки. Сделайте следующее:

перейдите в раздел «Виртуальная память» одним из перечисленных выше способов;
снимите галочку с пункта «Автоматически выбирать объем файла подкачки»;
активируйте переключатель «Указать размер» (текущий размер можно посмотреть в последней строке этого же окна);
задайте исходный и максимальный размер в мегабайтах (помните, что 1 Гб = 1024 Мб, используйте калькулятор для расчета), можно задать одинаковое значение;
кликните на «ОК» и перезагрузите ПК, чтобы изменения вступили в силу.

Какой оптимальный размер для файла подкачки?

Оптимальный размер определяет Windows. Самостоятельно рассчитать его сложно. Хотя в сети можно встретить самые разные рекомендации. Например, что размер файла подкачки должен быть в 1,5 или 2 раза больше объема ОЗУ (RAM), установленной в системе. Однако, рассуждая логически, можно сделать обратные выводы: чем больше физической оперативной памяти установлено на компьютере, тем меньше требуется дополнительной памяти. То есть умножать 16 Гб «оперативки» на 2 явно не стоит.

То же самое касается и вопросов в духе «Какой размер файла подкачки нужен, если в компьютере установлено 8 Гб оперативной памяти?». Все зависит от сценариев использования, но лучше предоставить выбор размера самой системе Windows.

Как переместить файл подкачки

Если решите переместить файл, выполните следующие шаги:

перейдите в «Виртуальную память»;
снимите галочку «Автоматически выбирать объем файла подкачки»;
на текущем диске выберите «Без файла подкачки»;
далее определите, куда следует перенести и на выбранном диске отметьте галочку «Размер по выбору системы» или выставьте размер самостоятельно;
выберите «ОК» и перезагрузите Windows.

Стоит ли переносить файл подкачки на SSD?

Если файл подкачки расположен на HDD, то его перенос на SSD ускорит компьютер (о том, как еще можно «разогнать» Windows, читайте в отдельной статье). Так как скорость твердотельных накопителей намного выше, чем обычных жестких дисков.

С другой стороны, у некоторых пользователей могут возникнуть опасения, что накопитель будет быстрее изнашиваться. Это не лишено смысла, но на практике угробить накопитель таким образом вряд ли получится, даже при всем желании. Подробнее об уходе за SDD и о том, как определить его ресурс, читайте в нашей статье «Как ускорить работу и продлить жизнь SSD — правда и мифы».

Если же накопитель малого объема и места постоянно не хватает, то стоит оставить pagefile на обычном «ХДД». Хотя, как вариант, можно еще попробовать задать размер вручную, чтобы высвободить место.

Как отключить файл подкачки

Чтобы отключить файл подкачки, то есть удалить его, следуйте инструкции:

перейдите в «Виртуальную память»;
снимите галочку «Автоматически выбирать объем файла подкачки»;
на всех дисках выберите «Без файла подкачки»;
далее «ОК» и перезагрузите компьютер.

Стоит ли отключать файл подкачки?

На этот вопрос нельзя дать однозначный ответ. Все зависит от условий использования компьютера. В теории это позволит сэкономить место на накопителе и, возможно, даже повысить производительность, так как Windows не будет обращаться к медленному накопителю, а постарается использовать весь объем ОЗУ. С другой стороны, в некоторых случаях компьютер будет работать нестабильно: приложения могут вылетать, сообщать об ошибках (причем не обязательно явно связанных с оперативной памятью) или вовсе не запускаться. Не помогут даже 64 гигабайта оперативной памяти. Также не будут сохраняться дампы при сбоях системы.

То есть удалять файл подкачки стоит, только если на компьютере установлен достаточный для возложенных задач объем ОЗУ, и вы используете определенный набор приложений, которые стабильно работают без виртуальной памяти. При этом помните, что всегда есть риск забыть, что вы что-то меняли в системе, из-за этого в случае возникновения проблем, вероятно, придется долго искать причину. Например, из-за этого могут вылетать игры Escape From Tarkov и God of War.

Если вам нужно освободить пространство на диске, то вместо полного отключения, лучше уменьшить размер (но делать его микроскопическим все равно не стоит) или переместить pagefile.sys на более емкий накопитель.

Вывод

Лучшее, что вы можете сделать с файлом подкачки — это оставить его в покое. ОС Windows сама прекрасно справляется с определением оптимального размера, в то время как вмешательство в работу компьютера может негативно сказаться на стабильности и производительности. Тем не менее если pagefile находится на жестком диске, то его стоит перенести на твердотельный накопитель (при наличии).

Это тоже интересно:

Сколько раз нужно делать дефрагментацию и для чего она нужна?
Что будет, если зажать Shift и выключить ПК с Windows 10
Как узнать, какая оперативная память установлена на компьютере с Windows

Источник

Файл подкачки, или виртуальная память — это системный файл на жестком диске компьютера, который Windows использует, чтобы компенсировать нехватку оперативной памяти, если приложениям ее не хватает. Что это за файл, как он работает, что о нем нужно знать, как увеличить файл подкачки в Windows 10, или, наоборот — как отключить файл подкачки в Windows 10, читайте в нашей шпаргалке. В конце статьи — короткое видео, в котором все показано.

Файл подкачки в Windows: зачем он нужен и как работает?

Всем известно, что запущенные приложения на компьютере выполняются в оперативной памяти (ОЗУ, RAM). Выражаясь образно, при запуске приложения считываются с жесткого диска и временно «переписываются» в оперативную память. Вся информация в приложениях тоже хранится в оперативной памяти до тех пор, пока вы их не закроете.

Когда количество оперативной памяти заполняется, в дело вступает так называемый «файл подкачки». Это скрытый системный файл на жестком диске, который может выполнять функции ОЗУ. Вместо того, чтобы закрыть приложение, которому не хватает RAM, Windows скидывает его в файл подкачки и при необходимости возвращает обратно.

Какие приложения отправлять в файл подкачки, система решает сама. К примеру, приложение, которое долго находится в свернутом состоянии, может быть помечено системой как неактуальное. При нехватке RAM оно отправится в файл на жестком диске, чтобы немного почистить память.

В современных компьютерах устанавливается достаточно много ОЗУ, поэтому файл подкачки используется редко. Но если вы замечаете, что приложение при открытии немного «подлагивает», а индикатор жесткого диска на ПК мигает, значит, Windows возвратила его в RAM из файла подкачки. Если это происходит часто, стоит задуматься о том, чтобы докупить немного памяти.

Файл подкачки в Windows 10: что такое pagefile.sys и swapfile.sys?

В Windows 10, в отличии от более старых версий Windows, используются два файла подкачки: pagefile.sys и swapfile.sys. Они хранятся в корне диске C:\ и найти их можно, если включить на своем компьютере отображение скрытых и системных файлов.

В файл pagefile.sys при нехватке памяти отправляются обычные приложения, которые вы устанавливаете из разных источников — браузер, графический редактор, мессенджеры и так далее. А в файл swapfile.sys — встроенные приложения Windows 10 и приложения, установленные из Магазина Windows.

Swapfile и Pagefile всегда работают в паре. Объем swapfile.sys не превышает пары десятков мегабайт, а вот pagefile.sys в процессе работы может «раздуваться» до нескольких гигабайт. Из-за этого некоторые ищут способ, как отключить файл подкачки в Windows 10, чтобы освободить место на диске. Но если сделать это, отключится и swapfile.sys — а без него многие встроенные приложения Windows 10 просто перестанут запускаться.

Файл подкачки Windows 10: оптимальный размер

Вообще-то, ваша «виндовс» сама решает, какой объем файла подкачки ей нужен, и стандартного объема хватает в большинстве случаев. Кроме того, на компьютерах с большим количеством RAM он вообще довольно редко используется.

Но можно высчитать, сколько составляет оптимальный объем файла подкачки в Windows 10 и самостоятельно. Расскажем, как сделать это правильно.

Откройте все нужные вам приложения. Затем запустите Диспетчер задач (Ctrl+Alt+Delete) и посмотрите на занятый объем RAM на вкладке Производительность.

Картинка с сайта: ichip.ru
Умножьте объем занятой памяти на 2. К примеру, 3 Гбайт из 4 Гбайт занято, значит — 6 Гбайт.
Вычитаем из полученного значения количество вашей RAM. 6 минус 4 — 2 Гбайт. Это и есть оптимальный размер файла подкачки для вашего ПК. Если у вас получился отрицательный размер, значит вам не надо увеличивать, уменьшать или вообще как-то изменять стандартный объем файла подкачки.

Не рекомендуется поднимать и повышать размер файла подкачки более чем в три раза от актуального объема ОЗУ.

Как увеличить файл подкачки в Windows 10?

Расскажем, как поставить файл подкачки на Windows 10 в оптимальное значение.

Откройте меню Пуск, найдите и запустите приложение «Настройка представления и производительности системы«.

Картинка с сайта: ichip.ru
Перейдите на вкладку Дополнительно и в разделе Виртуальная память щелкните Изменить.

Картинка с сайта: ichip.ru
Снимите отметку возле пункта Автоматически выбирать объем файла подкачки.
Выделите системный диск из списка, а затем нажмите Указать размер.
В строке Исходный размер (МБ) укажите минимальный размер файла подкачки — он не должен быть меньше 800 Мбайт, а в строку Максимальный размер (МБ) введите нужный объем, который вы разрешите системе отнять. Значения должны быть указаны в мегабайтах (1 Гбайт = 1 024 Мбайт).
После ввода новых параметров нажмите Задать, а затем Ок.

Как отключить файл подкачки в Windows 10?

Вообще-то, отключать файл подкачки не рекомендуется. Во-первых, приложения начнут «вылетать» (самопроизвольно перезагружаться), а некоторые вообще не смогут запуститься. Но если у вас много RAM, а место на жестком диске осталось мало, то отключение файла подкачки позволит освободить пару Гбайт. Главное — потом не пожалеть о своем решении. Может быть, вам поможет очистка диска, или нужно почаще очищать кэш браузера?

Нижеприведенные инструкции можно использовать на свой страх и риск!

Отключаем pagefile.sys

Откройте Проводник, нажмите правой кнопкой мыши по Этот Компьютер и выберите Свойства.

Картинка с сайта: ichip.ru
Нажмите в левом меню Дополнительные параметры системы.

Картинка с сайта: ichip.ru
На вкладке Дополнительно найдите раздел Быстродействие и нажмите Параметры.

Картинка с сайта: ichip.ru
Снова откроется новое окно. На нем откройте вкладку Дополнительно. В области Виртуальная память нажмите Изменить.

Картинка с сайта: ichip.ru
Снимите отметку возле Автоматически выбирать объем файла подкачки. Установите отметку в положение Без файла подкачки и кликните Задать и ОК.

Отключаем swapfile.sys

Обязательно сделайте точку восстановления системы.
Нажмите Win + R и введите regedit, чтобы зайти в редактор реестра.

Картинка с сайта: ichip.ru
Скопируйте в адресную строку редактора реестра следующий адрес: Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Картинка с сайта: ichip.ru
В правой части окна редактора реестра нажмите правую кнопку мыши, выберите Создать – Значение DWORD (32-бита).
Назовите его SwapfileControl и перезагрузите компьютер.
После этого swapfile будет отключен. Включить файл подкачки в Windows 10 обратно можно, удалив созданный параметр.

Как переместить файл подкачки?

Есть небольшая хитрость, как настроить файл подкачки на Windows 10. Если в вашем компьютере стоят несколько дисков, можно перенести файл подкачки с системного диска (не раздела!) на другой диск.

Для этого в уже знакомом приложении Настройка представления и производительности системы > Дополнительно > Виртуальная память нажмите Изменить.
Снимите отметку возле пункта Автоматически выбирать объем файла подкачки. Затем выделите ваш системный диск и нажмите Без файла подкачки. Нажмите Задать > ОК.
Выберите в том же списке диск, на котором вы хотите хранить файл подкачки. Нажмите Размер по выбору системы > Задать. Кликните ОК и перезагрузите компьютер, чтобы система применила ваши настройки.

ВАЖНО: не рекомендуется перемещать файл подкачки на накопитель типа SSD, так как это может сократить срок его службы, увеличив число циклов перезаписи.

Вот еще несколько полезных материалов по оптимизации:

Освобождаем место на диске, переместив файл подкачки
Сколько оперативной памяти нужно компьютеру?
Как ускорить Windows: пошаговое руководство

Источник

В этой статье вы узнаете все о загадочном файле pagefile.sys, который часто вызывает вопросы у пользователей Windows. Почему он занимает столько места на диске? Можно ли его удалить без вреда для системы? Как оптимизировать его использование? Эти и многие другие вопросы мы подробно разберем, основываясь на практическом опыте и технических знаниях. В процессе чтения вы поймете, что pagefile.sys – это не просто случайный файл, а важный компонент операционной системы, влияющий на производительность вашего компьютера. Особенно интересным будет узнать, как правильно настроить файл подкачки для максимальной эффективности работы ПК.

Что такое pagefile.sys и зачем он нужен

Файл pagefile.sys представляет собой системный файл Windows, являющийся частью механизма виртуальной памяти. Проще говоря, это своеобразное расширение оперативной памяти на жестком диске. Когда физической RAM становится недостаточно для выполнения всех запущенных программ и процессов, система начинает использовать место на жестком диске как дополнительную память. Этот механизм работает по принципу буфера: временные данные записываются в pagefile.sys, освобождая оперативную память для более срочных задач. Интересно отметить, что размер файла подкачки может автоматически увеличиваться и уменьшаться в зависимости от нагрузки на систему, адаптируясь к текущим потребностям.

Рассмотрим конкретные примеры использования pagefile.sys в реальных ситуациях. Представьте, что вы работаете с несколькими тяжелыми приложениями одновременно: видеомонтаж, работа с графикой и несколько браузеров с множеством вкладок. В какой-то момент объем используемой оперативной памяти может превысить доступный. Именно здесь вступает в игру файл подкачки: система перемещает менее активно используемые данные в pagefile.sys, обеспечивая бесперебойную работу остальных приложений. Специалисты сравнивают этот процесс с работой профессионального дирижера, который управляет ресурсами системы, создавая гармоничное взаимодействие между различными процессами.

Существует распространенное заблуждение, что файл подкачки нужен только при нехватке оперативной памяти. На самом деле, pagefile.sys выполняет гораздо больше функций. Он помогает системе быстрее восстанавливаться после сбоев, хранит дампы памяти при ошибках системы и обеспечивает стабильную работу фоновых процессов. Даже если у вас установлено 16 или 32 ГБ оперативной памяти, отключение файла подкачки может привести к непредвиденным проблемам в работе системы. Это связано с тем, что некоторые приложения и службы Windows изначально рассчитаны на использование виртуальной памяти, независимо от объема доступной RAM.

Как работает механизм виртуальной памяти

Для лучшего понимания роли pagefile.sys в системе, давайте разберем пошаговый процесс работы механизма виртуальной памяти:

Операционная система постоянно мониторит использование оперативной памяти
При достижении критического уровня загрузки RAM система анализирует приоритеты процессов
Менее активные данные перемещаются в pagefile.sys
Освободившаяся оперативная память используется для более важных задач
При необходимости данные из файла подкачки возвращаются обратно в RAM

Этот процесс происходит непрерывно и практически незаметно для пользователя. Однако важно понимать, что работа с жестким диском значительно медленнее, чем с оперативной памятью. Поэтому чрезмерное использование файла подкачки может привести к заметному снижению производительности системы. Особенно это касается старых HDD-дисков, где скорость записи/чтения существенно ниже, чем у современных SSD.

Можно ли удалить pagefile.sys и последствия этого решения

Прежде чем рассматривать возможность удаления файла pagefile.sys, необходимо четко понимать потенциальные риски и последствия такого действия. Многие пользователи, видя большой размер файла подкачки (часто несколько гигабайт), решают удалить его для освобождения места на диске. Однако такой подход может привести к серьезным проблемам в работе системы. Даже если ваш компьютер оснащен большим объемом оперативной памяти, полное отключение файла подкачки может вызвать нестабильность работы операционной системы и различных приложений.

Давайте рассмотрим конкретные последствия удаления pagefile.sys. Во-первых, система теряет возможность создавать дампы памяти при сбоях, что значительно усложняет диагностику проблем. При возникновении критических ошибок Windows не сможет сохранить информацию о состоянии системы перед аварией, делая практически невозможным анализ причин неисправности. Во-вторых, многие приложения и службы, особенно те, что были разработаны до эпохи массового распространения большого объема RAM, могут некорректно работать без доступа к виртуальной памяти. Это может проявляться в виде зависаний, сбоев или даже отказа запуска некоторых программ.

Объем RAM	Рекомендуемый размер pagefile.sys	Потенциальные проблемы при удалении
4 ГБ	4-8 ГБ	Значительное замедление работы, частые зависания
8 ГБ	2-6 ГБ	Нестабильная работа требовательных приложений
16 ГБ+	1-4 ГБ	Проблемы с созданием дампов памяти, сбои в работе служб

Особенно опасно отключение файла подкачки на компьютерах с HDD вместо SSD. Скорость обмена данными между оперативной памятью и жестким диском значительно ниже, поэтому без pagefile.sys система может просто “зависнуть” при перегрузке RAM. Технические специалисты сравнивают такую ситуацию с попыткой протолкнуть большой поток воды через узкую трубу – рано или поздно произойдет затор.

Тем не менее, существует несколько сценариев, когда можно безопасно отключить или ограничить использование файла подкачки. Например, на высокопроизводительных рабочих станциях с большим объемом RAM (32 ГБ и более) и SSD-накопителями, где каждый гигабайт пространства на ценен. Однако даже в этом случае рекомендуется оставить минимальный размер файла подкачки (например, 1-2 ГБ) для создания дампов памяти и корректной работы системных служб.

Альтернативные решения проблемы большого размера pagefile.sys

Вместо радикального удаления файла подкачки, существуют более безопасные способы управления его размером и расположением. Первый вариант – изменение параметров автоматического управления размером файла. Windows позволяет задать минимальный и максимальный размер pagefile.sys, что помогает контролировать его рост и предотвращать чрезмерное потребление дискового пространства. Для этого нужно:

Открыть свойства системы через панель управления
Перейти в раздел “Дополнительные параметры системы”
В разделе “Быстродействие” выбрать “Параметры”
Перейти на вкладку “Дополнительно” и нажать “Изменить” в разделе виртуальной памяти
Установить фиксированный размер файла подкачки

Второй вариант – перемещение файла подкачки на другой физический диск или раздел. Это особенно полезно, если системный диск уже заполнен, а дополнительное пространство имеется на других накопителях. Такой подход также может улучшить производительность системы, особенно если pagefile.sys будет расположен на быстром SSD-диске.

Экспертное мнение: рекомендации по настройке pagefile.sys

По словам Александра Кузнецова, сертифицированного специалиста Microsoft с более чем 15-летним опытом администрирования корпоративных систем, оптимальная настройка файла подкачки требует индивидуального подхода к каждой системе. “Я часто сталкиваюсь с ситуацией, когда клиенты, желая ‘оптимизировать’ свою систему, полностью отключают pagefile.sys, руководствуясь советами из интернета. В результате мы получаем нестабильную работу серверов и рабочих станций”, – комментирует эксперт.

На основе своего опыта Александр предлагает следующие практические рекомендации:

Для серверов использовать два файла подкачки на разных физических дисках
На рабочих станциях оставлять автоматическое управление размером файла
При наличии SSD ограничить максимальный размер pagefile.sys до 4-6 ГБ
Регулярно проверять логи системы на наличие ошибок, связанных с виртуальной памятью

Особенно интересен кейс, когда компания столкнулась с проблемами работы базы данных после отключения файла подкачки на сервере с 64 ГБ RAM. “Несмотря на кажущийся избыток оперативной памяти, SQL Server начал выдавать ошибки при выполнении сложных запросов. После восстановления pagefile.sys система вернулась к нормальной работе,” – делится Александр.

Часто задаваемые вопросы о pagefile.sys

Почему pagefile.sys занимает много места? Размер файла зависит от объема оперативной памяти и настроек системы. Windows автоматически резервирует место для хранения дампов памяти и обеспечения стабильной работы.
Можно ли переместить pagefile.sys на другой диск? Да, это возможно и даже рекомендуется в некоторых случаях. Перемещение на отдельный физический диск может улучшить производительность системы.
Как скрыть файл pagefile.sys в проводнике? Файл по умолчанию скрыт системой. Если он виден, проверьте настройки отображения скрытых системных файлов в параметрах проводника.
Что делать, если система требует слишком большой pagefile.sys? Проанализируйте использование оперативной памяти и оптимизируйте работу запущенных программ. Возможно, стоит увеличить объем RAM.
Почему нельзя просто отключить файл подкачки? Некоторые системные процессы и приложения требуют наличия виртуальной памяти независимо от объема RAM.

Заключение и практические рекомендации

Подводя итог, можно уверенно сказать, что файл pagefile.sys является важным компонентом операционной системы Windows, обеспечивающим стабильную работу компьютера даже при высокой нагрузке. Полное удаление файла подкачки может привести к непредсказуемым последствиям, включая системные сбои и проблемы с работой приложений. Вместо радикальных мер рекомендуется оптимизировать настройки файла подкачки, регулируя его размер и расположение.

Для повышения эффективности работы системы советуем:

Регулярно анализировать использование оперативной памяти
При необходимости увеличивать объем RAM
Перемещать pagefile.sys на быстрый SSD-диск
Оставлять минимальный размер файла для создания дампов памяти

Если вы сомневаетесь в правильности настроек виртуальной памяти, обратитесь к специалистам или воспользуйтесь автоматическими настройками Windows. Помните, что правильно настроенный файл подкачки – это залог стабильной работы вашей системы.

Источник

В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Часть 1. Что скрывают pagefile.sys

Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.

Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.

Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.

Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:

Видно, что это скрытый системный файл, который так просто не скопировать.

Как тогда получить этот файл? Сделать это можно несколькими способами:

если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана

Картинка с сайта: habr.com
если есть цифровая копия накопителя или же сам файл — просто копируем файл или работаем с ним напрямую.

Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования).

На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.

Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.

Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:

Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.

А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.

Идем в поля

Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?

В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.

Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.

При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.

Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.

В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):

В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:

Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.

А что еще?

Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):

Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).

Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):

И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.

Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:

sekurlsa::logonPasswords — извлечение логинов и паролей учетной записи
token::elevate — повышение прав доступа до SYSTEM или поиск токена администратора домена
lsadump::sam — получение SysKey для расшифровки записей из файла реестра SAM
log Result.txt — файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):

Картинка с сайта: habr.com

Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys:

На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:

Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.

В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.

Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.

Ниже несколько примеров того, что обнаружили специалисты:

Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).

Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец).
Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:

В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.

Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:

Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:

А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

Итак, pagefile.sys действительно может содержать большое количество различных артефактов, которые могут помочь в анализе. Именно поэтому никогда не стоит игнорировать исследование файла подкачки. Даже если есть у вас есть все необходимые данные — все равно исследуйте pagefile.sys. Практика показывает, что там может находиться что-то недостающее и важное.

Источник