[Prefetch]
응용 프로그램의 빠른 실행을 위해서 존재하는 파일로 응용 프로그램을 실행할 때에 생성한다. 실행 파일 이름, 실행 파일 경로, 실행 파일의 실행 횟수, 실행 파일의 마지막 실행 시간, 실행 파일의 최초 실행 시간 등을 알 수 있다.
[Practice]
%SystemRoot%\Prefetch 경로에서 Prefetch를 확인할 수 있다.
Prefetch를 분석하기 위해 WinPrefetchView를 다운로드한다.
https://www.nirsoft.net/utils/win_prefetch_view.html
View the content of Windows Prefetch (.pf) files
WinPrefetchView v1.37 Copyright (c) 2010 - 2021 Nir Sofer Description Each time that you run an application in your system, a Prefetch file which contains information about the files loaded by the application is created by Windows operating system. T
www.nirsoft.net
도구를 실행하면 자동으로 Prefetch를 불러온다. 자동으로 불러오기에 편하다는 장점이 있지만 무결성이 훼손된다는 단점이 존재한다. 따라서 무결성을 훼손하지 않기 위해서는 Prefetch 파일을 별도로 수집하여 여는 방식으로 사용한다. ex) cmd에서 옵션을 주고 실행
더블클릭하여 WORD에 대한 실행 횟수, 생성 시간, 변경 시간, 경로, 최종 실행 시간 등을 확인할 수 있다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| 브라우저 아티팩트 개념 및 실습 (0) | 2022.07.28 |
|---|---|
| MUICache, AmCache, ShimCache 개념 및 실습 (0) | 2022.07.28 |
| Jumplist 개념 및 실습 (0) | 2022.07.28 |
| 바로가기(.LNK) 개념 및 실습 (0) | 2022.07.27 |
| $LogFile, $UsnJrnl 개념 및 실습 (0) | 2022.07.27 |
