Archivo de Paginación

El dispositivo de almacenamiento es utilizado para almacenar datos y aplicaciones cuando no están siendo utilizados. Hablando relativamente, es el componente más lento del sistema, si lo comparásemos con la velocidad del CPU. Todos los datos e instrucciones deben ser alimentados hacia el CPU desde la memoria.

Pocas personas utilizaran las computadoras para únicamente abrir una aplicación. Generalmente se abren muchos programas, como Word, Outlook, Firefox al mismo tiempo. Y dentro de Firefox se pueden tener una, dos, tres o más pestañas abiertas. Y de estas aplicaciones o programas utilizados como Adobe Photoshop, es necesario tener una buena cantidad de memoria, y se puede percibir como eventualmente la computadora se torna lenta. También se podría escuchar como el dispositivo de almacenamiento (disco duro) empieza a hacer ruido. En este punto es altamente probable se esté utilizando la memoria virtual de la computadora.

Esta memoria virtual es llamada el archivo de paginación (page file) o espacio de intercambio (swap space). El archivo de paginación no es una función la cual se utilice de manera coherente. El archivo de paginación es utilizando cuando se agotó toda la memoria principal de la computadora. La memoria principal es llamada RAM. RAM son las siglas de Memoria de Acceso Aleatorio. La RAM mantiene todo aquello con lo cual trabaja la computadora en el momento. Todos los datos e instrucciones (programas, etc.) deben moverse desde la memoria principal hacia el CPU, donde son procesados. Cada computadora viene con una cierta cantidad de RAM, y siendo de un tamaño limitado en algún momento se agotará. Cuando se agota la RAM, la computadora empezará a mover algunas cosas allí. Para aliviar esta situación, la computadora leerá datos desde el espacio de intercambio hacia la memoria RAM y viceversa, pues al escribir datos hacia el archivo de paginación se intenta liberar la memoria RAM.

Una gran cosa sobre el archivo de paginación es poder contener archivos y fragmentos de archivos, los cuales no existen en ningún otro lugar del dispositivo de almacenamiento. Incluso si algún sospechoso borra o sobrescribe exitosamente sus archivos, podría pasar por alto el espacio de intercambio, dejando evidencia factible de ser recuperada posteriormente.

Fuentes:

http://www.forensicswiki.org/wiki/Pagefile.sys
https://en.wikipedia.org/wiki/Memory_forensics
https://www.electronicevidenceretrieval.com/forensics/glossary/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Informática Forense & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1