[EnCase] 프리페치(Prefetch) 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 프리페치 분석 2번째 시간입니다. 가마솥 같은 여름 입니다, 여러분 모두 힘 내세요.

 

프리페치 파일 구조

헤더의 구조는 다음과 같습니다.

 

 

프리페치 MFT 메모리 참조 영역(Prefetch MFT memory page reference)

MFT 메모리 페이지 참조에 대한 분석이 중요한 이유는 다음과 같습니다.

접근한 페이지에 포함된 정확한 MFT 레코드를 알 수가 없기 때문입니다.

파일과 관련된 영역에 포함된 MFT 레코드가 그 이후에 삭제되어서 다른 파일을 위해 사용되었는지를 알 수가 없기 때문입니다.

 

 

파일 참조 영역

유니코드로 암호화된 파일 경로에 대한 null-delimited 리스트로 되어 있습니다.

파일이 어플리케이션의 프리페치 파일에 참조되지 않았다고 해서, 어플리케이션이 프리페치 파일에 전혀 접근하지 않았다고 단정할 수는 없습니다. 그것보다는 단순히 어플리케이션이 시작된 지 10초 이내에 접근되지 않았을 뿐이라고 보는 것이 타당합니다.

만약 어플리케이션의 프리페치 파일에서 특정 파일에 대한 참조 정보를 발견하였다면, 그것은 해당 어플리케이션이 그 파일을 열기 위해 구동되었다는 추정을 가능하게 합니다.

 

 

볼륨 정보

어플리케이션의 호스트 볼륨과 관련된 아래의 정보를 확인 가능합니다.

- 볼륨의 생성일시

- 볼륨의 시리얼 넘버

 

 

폴더 참조 영역

폴더 오프셋의 영역은 가변적입니다.

Prefetch 파일에 의해 참조된 폴더의 목록을 보여줍니다.

 

 

 

 

 

감사합니다. 오늘도 즐거우 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics