Digital Forensics:Windows prefetch part II

Digital Forensics:Windows prefetch part II

  วันนี้มาลองทดสอบ Windows prefetch  โดยใช้เครื่องมือ WinPrefetchView

สำหรับผู้ใช้งาน Windows ถ้าสังเกตจะพบโฟลเดอร์ ใน C:\Windows\Prefetch ไม่ทราบว่าใช้ทำอะไร มีประโยชน์อะไรบางหรือเปล่า แล้วทำไมมีไฟล์อยู่เต็มไปหมด

Windows Prefetch คืออะไร

เป็นเทคนิคของ Windows ที่ใช้สำหรับการเก็บข้อมูลโปรแกรมที่เราเรียกใช้งานบ่อยๆ โดยจะเก็บเป็นไฟล์ข้อมูลเล็กๆ นามสกุล .pf  ใช้สำหรับการเก็บข้อมูลโปรแกรมที่เราเรียกใช้งานบ่อยๆ ในครั้งต่อไปที่เราเรียกใช้โปรแกรม  จะทำให้เรียกใช้โปรแกรมต่างๆ ได้เร็วขึ้น

Windows Prefetch จึงมีความสำคัญต่อการสืบสวนนิติดิจิตอล 
สำหรับผู้ตรวจสอบทางนิติวิทยาศาสตร์ สามารถใช้ Windows Prefetch  เป็นหลักฐานการใช้งานโปรแกรม   พวกเขาสามารถพิสูจน์ได้ว่าผู้ต้องสงสัยที่รันโปรแกรมเช่น CCleaner เพื่อปกปิดการกระทำผิดที่อาจเกิดขึ้น หากโปรแกรมถูกลบไปตั้งแต่นั้นไฟล์ prefetch อาจยังคงมีอยู่ในระบบเพื่อแสดงหลักฐาน การใช้ไฟล์ prefetch 
ประโยชน์อีกอย่างหนึ่งคือ ใช้ Windows Prefetch ในการตรวจสอบมัลแวร์ซึ่งสามารถช่วยผู้ตรวจสอบในการกำหนดว่าเมื่อใดจะมีการเรียกใช้โปรแกรมที่เป็นอันตราย เมื่อรวมสิ่งนี้เข้ากับการวิเคราะห์ Timeline  ผู้ตรวจสอบสามารถระบุไฟล์ที่เป็นอันตรายเพิ่มเติม จำนวนครั้งที่โปรแกรม run หรือ execute จากการดาวน์โหลดหรือสร้างขึ้นในระบบและช่วยระบุสาเหตุที่แท้จริงของเหตุการณ์ได้  

WinPrefetchView เป็นฟรีโปรแกรมที่ใช้ดูประวัติรายละเอียดต่าง ๆ ของ Prefetch

ซึ่งสามารถแสดงรายละเอียดได้ดีกว่าดูจากโฟลเดอร์ของ Prefetch และแสดงผลในรูปแบบที่เข้าใจได้ง่าย

prefetch files are found in the directory C:\Windows\Prefetch. Prefetch files have a .pf extension

Prefetch files contain the following metadata:

• The name of the corresponding executable
• The number of times the executable has been run
• The size of the prefetch file
• The files and directories that were referenced during the application startup (this is what Windows wants to trace)
• Information related to the volume that the executable is on, including the volume path and serial number.

Here’s a sample of some prefetch files from my test host:

C:\Digital Forensics Tools.exe    = DIGITAL FORENSICS TOOLS.EXE-52542CA8.pf

\127.0.0.1\C$\Digital Forensics Tools.exe  = DIGITAL FORENSICS TOOLS.EXE-95205518.pf

C$Digital Forensics Tools.exe

H:\Digital Forensics Tools.exe  = DIGITA~1.EXE-7EC97B47.pf

F:\Digital Forensics Tools.exe  = DIGITAL FORENSICS TOOLS.EXE-1C722632.pf

• z:\Digital Forensics Tools.exe is executed
• it is mapped to its UNC path 
• \\Localhost\Z\Digital Forensics Tools.exe = DIGITAL FORENSICS TOOLS.EXE-7DE46524.pf

Note that I’ve got several applications with the same name, but a different location. That is evidence by the somewhat-similar hashes, and in many application’s cases, is likely indicative of folder structure change.

สรุปจากทดสอบ

    1 เมื่อUser.เปิดไฟล์ Digital Forensics Tools.exe ใน Drive ที่แตกต่างกัน ค่า prefetch files ที่ได้จึงมีแตกต่างกันตาม 

ทีมา :  

https://www.hexacorn.com

https://www.magnetforensics.com/blog/forensic-analysis-of-prefetch-files-in-windows/

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD