도깬리 포렌식스 입니다.
이태원 사고 소식에 온나라가 슬픔에 잠겼습니다. 다시는 이와 같은 안타까운 죽음이 없어야 겠습니다. 오늘은 FTK 시리즈 마지막편으로 Superfetch에 대해 설명을 하겠습니다. 모두 힘내세요!!!
What is Superfetch
윈도우 비스타 이후 Prefetch는 Superfetch로 진화됩니다.
Superfetch를 이용하여 프로그램의 사용흔적을 추적할 수 있습니다.
- 마지막으로 구동한 일시
- 구동 횟수
저장위치는 C:\Windows\Prefetch 입니다.
저장포맷은 .PF 입니다.
Prefetch는 Cache manager를 이용하여 Boot process와 Application Launches를 모니터링합니다.
SuperFetch in the Windows 7 Environment
프래패치의 파일 이름 구성은 '프로그램실행파일명-짧은 해시값(8개의 헥사문자).pf' 입니다.
짧은해시값은 해당 프로그램의 실행파일의 경로를 기반으로 계산된 것입니다.
Vista에서 Prefetch, Superfetch는 기본적으로 활성화 되어 있습니다.
Windows 7에서는 SYSTEM 레지스트리에 Prefetch 관련 설정 정보를 갖고 있습니다.
SYSTEM\ControlSet##\Control\Session Manager\Memory Management\PrefetchParameters
EnablePrefetcher 값이 Prefetch의 기능 상태를 결정합니다.
- 0 : Prefetch 비활성화
- 1 : Application Launch Prefetching 만 기록함
- 2 : Boot Prefetching 만 기록함
- 3 : 둘 다 기록함 (기본 세팅값임)
Windows XP에서는 최대 128개의 .pf 파일이 저장되었습니다.
Windows 7에서는 제한 없습니다.
Prefetch File Anatomy
.PF 파일을 분석하면 아래의 사항을 확인 가능합니다.
- 어플리케이션 이름
- 마지막 구동 일시 : Windows 64-bit date/time stamp
- 구동 회수
- 시그너처 : SCCA
Layout.ini
어플리케이션을 로드한 순서를 확인할 수 있습니다.
프리페치 파일(Prefetch)과 함께 저장되어 있습니다.
로드한 실행파일의 경로와 이름이 기록되어 있습니다.
그동안 수고 많으셨습니다.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] Thumbcache 분석 (0) | 2022.10.28 |
|---|---|
| [FTK] 고아 파일(Orphan File) 분석과 복원 (0) | 2022.10.26 |
| [FTK] 윈도우 휴지통 분석 (2) (0) | 2022.10.24 |
| [FTK] 윈도우 휴지통 분석 (1) (0) | 2022.10.22 |
| [FTK] 윈도우 라이브러리와 홈그룹 등 (0) | 2022.10.20 |