Kilkat

포렌식 기본 상식 (prefetch) 본문

Security/forensic

포렌식 기본 상식 (prefetch)

KimKwangWoon 2018. 1. 7. 19:26

목표: 포렌식 수사에서 유용하게 사용되는 prefetch를 이해하고 그와 관련된 툴 사용법을 익히자


사용 프로그램: winprefetchview 64bit

컴퓨터 환경: 윈도우10 64bit


prefetch특징


1: 윈도우 xp이후 즉 윈도우 7부터 새로 생긴 기능이다. 부팅을 하거나 프로그램을 시작할때 시작하는 속도를 빠르게 하기 위해서 만들어졌다.

2: prefetch 파일은 최대 128개의 파일만 생성시킨다. 만약 새로운 프로그램이 실행되면 가장 오래전에 사용된 프로그램의 prefetch를 삭제시키고 새로운 프로그램의 prefetch가 기록된다.

3: prefetch 파일의 확장자는 pf이다.

4: 모든 Prefetch 파일은 %SystemRoot%\Prefetch 이 경로에 저장된다.

5: 기본적인 파일 접근으로는 접근이 불가능하고 %SystemRoot%\Prefetch를 직접 쳐주거나 CMD 창에서만 접근이 가능하다.



prefetch 분석을 보다 쉽게 하는 방법


prefetch 분석을 쉽게 도와주는 프로그램이 존재하는데 그 프로그램의 이름은 winprefetchview이다. windows 파일 안에 있는 기존의 prefetch 파일은 어떠한 아이콘 사진도 없어서 분석을 하기가 어렵고 어느 경로를 통해 설치되었고 어디에 설치되어 있는지도 찾기가 귀찮고 힘들다. 하지만 winprefetch를 사용하게 되면 이 많은 단점들이 해결된다.

같은 pf파일인데 winprefetchview프로그램을 사용하게 되면 이렇게 아이콘도 나오고 어디에 설치되어 있는지 Run Counter 몇번 실행하였는지 마지막 사용시간은 언제인지를 한눈에 파악할수 있다.


winprefetchview 다운로드 url: http://www.softpedia.com/get/System/System-Info/WinPrefetchView.shtml


'Security > forensic' 카테고리의 다른 글

Anti Forensic(steganography) 문제, 정답  (6) 2018.01.22
Comments