---

Faldt lige over dette link:
http://www.winguides.com/registry/display.php/244/

Kan en venlig person forklare på almindelig dansk hvilke
fordele og ulemper der er ved at slette sidefilen ved lukning af xp ?

De skriver jo:"
On a heavily used system this can be both a security threat and
performance drop. Enabling this setting will cause Windows to
clear the page file whenever the system is shutdown. "

Jeg vil selv kalde mit system " heavily used "

Mvh Kim

---

Kim wrote:
> Faldt lige over dette link:
> http://www.winguides.com/registry/display.php/244/
>
> Kan en venlig person forklare på almindelig dansk hvilke
> fordele og ulemper der er ved at slette sidefilen ved lukning af xp ?
>
> De skriver jo:"
> On a heavily used system this can be both a security threat and
> performance drop. Enabling this setting will cause Windows to
> clear the page file whenever the system is shutdown. "

Man kunne forstille sig at "nogen" på magisk vis kunne læse
rester af gammel fortrolig data fra en gammle page-fil.
Det tror jeg ikke på er et større problem.
Man kunne også forestille sig at heavy brug af pagefilen
kunne få den til at blive fragmenteret, hvilket kunne få
windows til at blive langsom.
Men så er det nok bedre at købe noget mere RAM eller
lave page filen større.
At slette pagefilen vil kunne gøre windows langsomt, da windows
så skal lave den igen når windows starter; det vil også kunnne
medføre at pagefilen bliver fragmenteret på disken.

Jeg kan ikke se nogen god grund til at slette pagefilen ved
nedlukning.

--
Absolutely not the best homepage on the net:
http://home20.inet.tele.dk/midgaard
But it's mine - Bertel

---

On Thu, 05 May 2005 19:10:19 +0200, Bertel Brander
<bertel@post4.tele.dk> wrote:

> At slette pagefilen vil kunne gøre windows langsomt, da windows
> så skal lave den igen når windows starter;

SVJKS så laver w. en ny ved hvert boot, p. får i hvert tilf. nyt
tidsstempel (boottidspunkt)

---

Bertel Brander wrote:
>
> Jeg kan ikke se nogen god grund til at slette pagefilen ved
> nedlukning.

Hvis nu man surfer meget på Al-Qaida nettet, planlægger terror
angreb, udveksler opskrifter på kemiske våben, handler med
hård narkotika, børnepornografi og alt den slags, så kunne man
måske have en vis interesse i at skjule sine spor. Og så er det klogt
nok (også) at tømme sin Page File regelmæssigt.

Men i de fleste andre situationer er det vist ret ligegyldigt.

-E.G.

---

El Guapo skrev:

> måske have en vis interesse i at skjule sine spor. Og så er det klogt
> nok (også) at tømme sin Page File regelmæssigt.

Hvordan vil du tømme sidefilen?

Hvilket formål skulle det have?


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

Jesper G. Poulsen wrote:
>
> Hvordan vil du tømme sidefilen?

Der er, som det også er nævnt her i tråden, mange muligheder.

Selv kører jeg med et program her, StrongDisk, som bruges til at
lave virtuelle krypterede diske (lidt á la PGP). I det program er der
bl.a. en security option "Clear pagefile at Windows shutdown", som
kan gøre det... "Prisen" for dette, her på min sløve PC, er ca. 50..60
sekunders ekstra lukke-ned-tid. Så det er ikke så sjovt!

> Hvilket formål skulle det have?

Hysterisk sikkerhed... og/eller for at skjule sine spor.

Selvom du har ryddet nok så godt op efter dit arbejde (slettet filer,
tømt browser-cache og history osv. osv.) så kan der efter sigende
stadig ligge ting i page filen, som kan afsløre hvad du har arbejdet
med, for den som forstår at lede efter det.

Så det giver kun mening hvis man VIRKELIG har noget at skjule,
jf. mit forrige indlæg, eller hvis man lider af lettere forfølgelses-
vanvid, paranoia eller bare almindeligt knald i låget.

-E.G.

---

El Guapo skrev:

> bl.a. en security option "Clear pagefile at Windows shutdown", som

Det sletter filen. Man kan ikke _tømme_ filen.

> > Hvilket formål skulle det have?
> Hysterisk sikkerhed... og/eller for at skjule sine spor.

Man kan ikke læse noget fornuftigt ud af sidefilen. Sidefilen er
virtuel hukommelse og er styret af CPU'en (og dens memorymanager -
MMU). Sålænge adressepointeren ikke er tilgængelig er der ingen fare
for at det der måtte ligge i sidefilen bliver en sikkerhedsfaktor.

> Selvom du har ryddet nok så godt op efter dit arbejde (slettet filer,
> tømt browser-cache og history osv. osv.) så kan der efter sigende
> stadig ligge ting i page filen, som kan afsløre hvad du har arbejdet

Salgsgas. Det har intet hold i virkeligheden.

> med, for den som forstår at lede efter det.

Salgsgas.

> vanvid, paranoia eller bare almindeligt knald i låget.

Knald i låget eller evnen til at lade sig overtale af smarte reklamer.
Der ligger _intet_ brugbart i sidefilen, da adressepointeren er væk.

Man må forstå, at Intel-arkitekturen (x86) rummer 'paging' på
instruktionsniveau. x86 inddeler hukommelsen i 16384 'pages' (sider) à
4GiB. De første 4GiB er direkte adressér-bare i form af RAM. De øvrige
16383 sider er adressér-bare som virtuel hukommelse. Det er dog stadig
adressepointeren der styrer showet.
Adressepointeren er et register i CPU'en. Når CPU'en mister sin
forsyningsspænding (PC'en slukkes) er adressepointeren væk. Hukommelsen
hænger ikke længere sammen.


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

Jesper G. Poulsen wrote:
> Man må forstå, at Intel-arkitekturen (x86) rummer 'paging' på
> instruktionsniveau. x86 inddeler hukommelsen i 16384 'pages' (sider) à
> 4GiB. De første 4GiB er direkte adressér-bare i form af RAM. De øvrige
> 16383 sider er adressér-bare som virtuel hukommelse. Det er dog stadig
> adressepointeren der styrer showet.
> Adressepointeren er et register i CPU'en. Når CPU'en mister sin
> forsyningsspænding (PC'en slukkes) er adressepointeren væk.
> Hukommelsen hænger ikke længere sammen.

Du benægter altså, at Page filen kan indeholde noget som helst af
det, der har været arbejdet med på PC'en, så fragmenteret og
mangelfuldt det end måtte være?

-E.G.

---

El Guapo skrev:

> Du benægter altså, at Page filen kan indeholde noget som helst af
> det, der har været arbejdet med på PC'en, så fragmenteret og
> mangelfuldt det end måtte være?

Jeg skriver at det der måtte være i sidefilen er gået tabt i samme
øjeblik som CPU'en har mistet power. Det kan _ikke_ hentes tilbage.
Alle tilbageværende data er fyld (ligesom dunene i en dyne - man kan
ikke skabe en gås af dem).


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

Jesper G. Poulsen skrev:
> Jeg skriver at det der måtte være i sidefilen er gået tabt i samme
> øjeblik som CPU'en har mistet power. Det kan _ikke_ hentes tilbage.
> Alle tilbageværende data er fyld (ligesom dunene i en dyne - man kan
> ikke skabe en gås af dem).

En side som er skrevet til pagefilen indeholder vel helt præcist og
fuldstændig nøjagtig det samme som der stod i RAM, ikkesandt?

Det er nok muligt at informationen om hvordan siderne skal relateres til
hinanden (hvor de "hørte til" i det virtuelle adresserum) er gået tabt, men
indholdet af hver enkelt side er intakt og brugbart (så længe man ikke
forsøger at følge absolutte adresse-referencer).

På sådan en "paged" side kan der stå mange kodeord, personlige oplysninger,
kærestebreve og smædebreve om chefen (find selv på mere...) - i klar tekst,
lige til at læse for den som _ikke_ må få det at vide.

-------
Tomas

---

Tomas Christiansen wrote:
>
> På sådan en "paged" side kan der stå mange kodeord, personlige oplysninger,
> kærestebreve og smædebreve om chefen (find selv på mere...) - i klar tekst,
> lige til at læse for den som _ikke_ må få det at vide.

Nu er der jo den lille hage ved det, at selv om sidefilen bliver
"slettet" ved nedlukning vil der stå stort set det samme på disken,
da windows - mig bekendt - ikke sletter sektorene på disken, men
kun markerer dem som frie.
Så hvis man har paranoia hjælper det ikke at slette sidefilen, man
bliver nødt til at overskive de sektorer hvor sidefilen lå.
Og skulle der ligge password ol i løse sektorer på disken kan de
lige så godt ligge alle andre steder.

--
Absolutely not the best homepage on the net:
http://home20.inet.tele.dk/midgaard
But it's mine - Bertel

---

Bertel Brander wrote:
>
> Nu er der jo den lille hage ved det, at selv om sidefilen bliver
> "slettet" ved nedlukning vil der stå stort set det samme på disken,
> da windows - mig bekendt - ikke sletter sektorene på disken, men
> kun markerer dem som frie.
> Så hvis man har paranoia hjælper det ikke at slette sidefilen, man
> bliver nødt til at overskive de sektorer hvor sidefilen lå.

Og det er jo også derfor at visse utilities tilbyder at overskrive
page filen.

Det ER sq da ikke så underligt at nogen af os har paranoia,
når I alle sammen er EFTER OS hele tiden!!!

-E.G.

---

Tomas Christiansen skrev:

> mere...) - i klar tekst, lige til at læse for den som ikke må få det

Nej, der vil ikke stå noget i klartekst. Hukommelsen arbejder ikke i
klartekst. Det der er at finde i sidefilen er ordnet på samme måde som
det der findes i RAM (det sørger MMU'en for). Problemet er at idet
adressepointeren er væk er informationerne i sidefilen ubrugelige. De
kan _ikke_ genskabes.

Det svarer _ikke_ til temp-kataloget i Windows. Sidefilens indhold er
styret af nogle få registre i CPU'en. Hvornår den skal tages i brug og
hvor stor den må være bestemmes af OS'et, men selve paging-funktionen
er ren CPU og adresseringen styres af CPU.

Ved debugging er det muligt af lave en dump af al fysisk hukommelse og
kun i de tilfælde hvor adressepointeren reddes, vil sidefilens indhold
vil kunne anvendes til noget.


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

Jesper G. Poulsen skrev:
> Nej, der vil ikke stå noget i klartekst. Hukommelsen arbejder ikke i
> klartekst. Det der er at finde i sidefilen er ordnet på samme måde som
> det der findes i RAM (det sørger MMU'en for). Problemet er at idet
> adressepointeren er væk er informationerne i sidefilen ubrugelige. De
> kan _ikke_ genskabes.

Hmmm. Jeg har på fornemmelsen at du har en pointe med det du skriver, men
det lader til at ingen af os forstår den (jeg gør ihvertfald ikke).

Lad os antage at jeg taster mit brugernavn og kodeord ind i ét eller
andet system som på én eller anden måde - helt eller delvist - afvikles
fra min computer (denne formulering vil da også dække over _visse_ web-
baserede systemer).

Systemet gemmer mit brugernavn og mit kodeord i RAM - og de gemmes lige
efter hinanden. Derefter sendes de til videre behandling, og variablerne
som de blev gemt i nedlægges.

Den side i RAM som oplysningerne lå i bliver på et tildspunkt (antagelse)
skrevet i sidefilen, og siden bliver (antagelse) ikke brugt til andet
formål, så informationen forbliver intakt i sidefilen til computeren
lukkes ned.

En ondsindet person stjæler nu min computer, sætter en boot-disk (eller
USB-key eller ...) i computeren og giver sig til at gennemsøge sidefilen
for "læselige" tekst-strenge (man kan f.eks. sige at hvis der forekommer
mindst tre bogstaver umiddelbart efter hinanden, er der en chance for at
det er et ord, og hvis man finder 7-8 cifre efter hinanden kan det f.eks.
være en netbank brugerkonto).

Den ondsindede person finder strengen "12345678" og umiddelbart efter
"hemmelig007". Den ondsindede person boot'er op på min disk, opdager at
der er en genvej til min netbank, og prøver selvfølgelig med kontoen
"12345678" og kodeordet "hemmelig007"...

Vil du nu fortælle at den slags ikke kan lade sig gøre fordi
"adressepointeren" er væk???

-------
Tomas

---

Tomas Christiansen skrev:

> Vil du nu fortælle at den slags ikke kan lade sig gøre fordi
> "adressepointeren" er væk???

Ja, for der arbejdes ikke i klar-tekst i RAM. Du (eller andre) har ikke
en kinamands chance for at se hvor en byte starter og hvor den slutter.

Det svarer lidt til at lytte til kortbølgeradio (i form af en SSB
AM-sender). Hvis ikke du kender frekvensen der sendes på, har du heller
ikke noget at lytte til. Ved kortbølgeradio sendes grundfrekvensen
nemlig ikke ud, kun modulationen sendes ud. Grundfrekvensen skaber din
modtager selv. Har du ikke selv grundfrekvensen, modtager du ikke noget.
Har du en grundfrekvens der ligger få kilohertz fra den rigtige
grundfrekvens får du noget der lyder som Mickey Mouse.


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

Jesper G. Poulsen skrev:
> Ja, for der arbejdes ikke i klar-tekst i RAM. Du (eller andre) har ikke
> en kinamands chance for at se hvor en byte starter og hvor den slutter.

Jeg bliver altså nødt til ved selvsyn at checke dette. En dag i nærmeste
fremtid, vil jeg foretage et par eksperimenter i den retning (skal lige
have fat i noget hardware jeg kan splitte ad).

-------
Tomas

---

Tomas Christiansen wrote:
> Jesper G. Poulsen skrev:
>
>>Ja, for der arbejdes ikke i klar-tekst i RAM. Du (eller andre) har ikke
>>en kinamands chance for at se hvor en byte starter og hvor den slutter.
>
>
> Jeg bliver altså nødt til ved selvsyn at checke dette. En dag i nærmeste
> fremtid, vil jeg foretage et par eksperimenter i den retning (skal lige
> have fat i noget hardware jeg kan splitte ad).

Jeg vil forvente at du kan finde stumper af klartekst. Man ved altid
hvor en byte starter, og disken er delt op i et antal sektorer,
størrelsen på disse vil bl.a. afhænge af fil-system, men 1 - 4 kbyte
er ikke ualmindeligt. Det er sansynligt at man kan finde klartekst
indenfor en sektor.

--
Absolutely not the best homepage on the net:
http://home20.inet.tele.dk/midgaard
But it's mine - Bertel

---

Bertel Brander skrev:
> Jeg vil forvente at du kan finde stumper af klartekst. Man ved altid
> hvor en byte starter, og disken er delt op i et antal sektorer,
> størrelsen på disse vil bl.a. afhænge af fil-system, men 1 - 4 kbyte
> er ikke ualmindeligt. Det er sansynligt at man kan finde klartekst
> indenfor en sektor.

Præcis min forventning (baseret på hvad jeg har skrabet sammen af viden på
universitetet og 19½ års professionel erfaring med computere i alle
størrelser), men Jesper G. antyder jo rent faktisk at jeg tager helt og
aldeles fejl. Jeg vil se det før jeg tror det (kald mig bare skeptiker).

-------
Tomas

---

Bertel Brander skrev:

> Jeg vil forvente at du kan finde stumper af klartekst. Man ved altid
> hvor en byte starter, og disken er delt op i et antal sektorer,

Ikke når adressepointeren er væk. Sidefilen er et område med sit eget
"filsystem".

> er ikke ualmindeligt. Det er sansynligt at man kan finde klartekst
> indenfor en sektor.

Det afhænger af hvordan oplysninger skrives til RAM. Og der skrives
sjældent oplysninger i klartekst.


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

Tomas Christiansen wrote:

>> Ja, for der arbejdes ikke i klar-tekst i RAM. Du (eller andre) har ikke
>> en kinamands chance for at se hvor en byte starter og hvor den slutter.
>
> Jeg bliver altså nødt til ved selvsyn at checke dette. En dag i nærmeste
> fremtid, vil jeg foretage et par eksperimenter i den retning (skal lige
> have fat i noget hardware jeg kan splitte ad).

Kan du ikke bare tjekke sidefilen, i stedet for at begynde at splitte
en computer ad og gøre jeg-ved-ikke-hvad med RAMne?

---

Lars Stokholm skrev:
> Kan du ikke bare tjekke sidefilen, i stedet for at begynde at splitte
> en computer ad og gøre jeg-ved-ikke-hvad med RAMne?

Min idé var at sætte en ekstra harddisk i, lade sidefilen brede sig ud på
denne, skrive noget letgenkendeligt i _flere forskellige steder_ i RAM
(f.eks. i en variabel i VB), sikre sig at dette er skrevet til sidefilen
(jeg tror jeg har nogle metoder til den slags...), slukke for computeren,
tage disken fra, starte op, sætte systemet til kun at have sidefil på en
primære disk, lukke ned, sætte den anden disk på og endelig kunne læse
indholdet af sidefilen på den sekundære disk.

-------
Tomas

---

Tomas Christiansen wrote:

> Min idé var at sætte en ekstra harddisk i, lade sidefilen brede sig ud på
> denne, skrive noget letgenkendeligt i _flere forskellige steder_ i RAM
> (f.eks. i en variabel i VB), sikre sig at dette er skrevet til sidefilen
> (jeg tror jeg har nogle metoder til den slags...), slukke for computeren,
> tage disken fra, starte op, sætte systemet til kun at have sidefil på en
> primære disk, lukke ned, sætte den anden disk på og endelig kunne læse
> indholdet af sidefilen på den sekundære disk.

Nåh, så er jeg rolig igen. Det var ca. det samme jeg havde i tankerne,
bortset fra at jeg bare ville bruge en tom partition, slette sidefilen
og kigge på den "tomme plads". Men jeg har lige hentet og åbnet WinHex
og det set ud som om den vil lade mig kigge på en sidefil i brug.

Jeg ser en masse klartekst, men hvad det er, og om det stammer fra RAM,
ved jeg ikke. Jeg genkender det ikke, men måske WinHex kan hjælpe dig.

---

Lars Stokholm skrev:
> ...Men jeg har lige hentet og åbnet WinHex og det set ud som om den
> vil lade mig kigge på en sidefil i brug.

Har lige hentet den ned - den er altså ret fiks!

-------
Tomas

---

Tomas Christiansen wrote:

>> ...Men jeg har lige hentet og åbnet WinHex og det set ud som om den
>> vil lade mig kigge på en sidefil i brug.
>
> Har lige hentet den ned - den er altså ret fiks!

Jep, jeg ville bare ønske jeg kendte et gratis alternativ.

WinHex eller ej, jeg ser frem til nogle konklussioner omkring
indhold af RAM og sidefil. :)

(WinHex kan i øvrigt også læse RAM.)

---

Lars Stokholm wrote:

> (WinHex kan i øvrigt også læse RAM.)

Jeg åbner en tekstfil i Notepad. Fra WinHex åbner jeg RAM (mere
specifikt Notepads "Entire Memory"). Der finder jeg tekstfilen, godt
nok ikke i klartekst men næsten. Hver byte fra tekstfilen er i RAM
adskildt af en nulbyte - spørg mig ikke hvorfor, men jeg ser det tit
også i eksekverbare filer.

---

Lars Stokholm skrev:
> Jeg åbner en tekstfil i Notepad. Fra WinHex åbner jeg RAM (mere
> specifikt Notepads "Entire Memory"). Der finder jeg tekstfilen, godt
> nok ikke i klartekst men næsten. Hver byte fra tekstfilen er i RAM
> adskildt af en nulbyte - spørg mig ikke hvorfor, men jeg ser det tit
> også i eksekverbare filer.

Det er fordi nyere Windows'er som standard benytter Unicode i en UCS-16
encoding så vidt jeg lige husker. Så fylder hver tegn to bytes, og langt de
fleste tegn består af den tilsvarende ISO 8859-1 (også kaldet Latin 1)
tegnværdi efterfulgt af en nul-byte. Lige så snart der skal repræsenteres
tegn som ikke findes i ISO 8859-1 (groft set), så skal begge bytes i brug.

Prøv i din Notepad at vælge Gem Som og se i denne dialogboks hvilke
encoding den kan gemme i.

-------
Tomas

---

Tomas Christiansen wrote:

> Det er fordi nyere Windows'er som standard benytter Unicode i en UCS-16
> encoding så vidt jeg lige husker. Så fylder hver tegn to bytes, og langt de
> fleste tegn består af den tilsvarende ISO 8859-1 (også kaldet Latin 1)
> tegnværdi efterfulgt af en nul-byte. Lige så snart der skal repræsenteres
> tegn som ikke findes i ISO 8859-1 (groft set), så skal begge bytes i brug.

Aha... Takker. :)

---

Lars Stokholm skrev:

> Jeg åbner en tekstfil i Notepad. Fra WinHex åbner jeg RAM (mere
> specifikt Notepads "Entire Memory"). Der finder jeg tekstfilen, godt

Grunden til at du kan læse det er, at CPU'en holder sin adressepointer.
Uden adressepointeren var de data intet værd (okay, der er ikke adgang
til RAM i de tilfælde hvor adressepointeren er væk - maskinen er jo
slukket).


--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working

---

On 07 May 2005 07:19:19 GMT, "Jesper G. Poulsen"
<ms2mogens@ingensteder.dk.invalid> wrote:

>Hvordan vil du tømme sidefilen?

Man kan f.eks bede windows gøre det

gpedit.msc

'Computerkonfiguration' -> 'Windows-indstillinger' ->
'Sikkerhedsindstillinger' -> 'Lokale Politikker' ->
'Sikkerhedsindstillinger' -> 'Lukning: Ryd sidefilen til den virtuelle
hukommelse'

>Hvilket formål skulle det have?

Microsoft må jo mene at der er en sikkerhedsrisiko - Den er nok ikke
stor, men du kan være heldig at finde brugernavne / password / nøgler
etc i sidefilen.

I hvert fald har man indbygget muligheden for at rydde (overskrive ?!)
sidefilen ved nedlukning af windows.


<mlr>

---

MadHatter wrote:

> overskrive ?!

Formentlig ikke, går det ikke lynhurtigt?

---

On Fri, 27 May 2005 21:51:31 +0200, Lars Stokholm
<stokholm@despammed.com> wrote:

>> overskrive ?!
>
>Formentlig ikke, går det ikke lynhurtigt?

Nope, den overskriver rent faktisk sidefilen med nuller:

http://support.microsoft.com/default.aspx?scid=kb;en-us;320423

<mlr>

---

MadHatter wrote:

> Nope, den overskriver rent faktisk sidefilen med nuller:
>
> http://support.microsoft.com/default.aspx?scid=kb;en-us;320423

Wow. OK.

---

Kim skrev:
> Kan en venlig person forklare på almindelig dansk hvilke
> fordele og ulemper der er ved at slette sidefilen ved lukning af xp ?

Prøv at google efter dette: ClearPageFileAtShutdown performance

Følg første link (det er til Microsoft), som godt nok omhandler Windows
2000, men det mener jeg ikke gør nogen forskel lige på dette punk, og check
sidste linie: "Changing this value can degrade the performance of your
computer."

Der er ingen performancegevinst - tværtimod vil det tage laaaang tid at
lukke din computer ned - kun en sikkerhedsgevinst ved at bruge denne option
(hvis altså at du lader andre have _ubegrænset_ adgang til din computer-
hardware, ellers giver det ingen mening).

-------
Tomas