Digital Forensics:Windows prefetch part II
วันนี้มาลองทดสอบ Windows prefetch โดยใช้เครื่องมือ WinPrefetchView
สำหรับผู้ใช้งาน Windows ถ้าสังเกตจะพบโฟลเดอร์ ใน C:\Windows\Prefetch ไม่ทราบว่าใช้ทำอะไร มีประโยชน์อะไรบางหรือเปล่า แล้วทำไมมีไฟล์อยู่เต็มไปหมด
Windows Prefetch จึงมีความสำคัญต่อการสืบสวนนิติดิจิตอล
สำหรับผู้ตรวจสอบทางนิติวิทยาศาสตร์ สามารถใช้ Windows Prefetch เป็นหลักฐานการใช้งานโปรแกรม พวกเขาสามารถพิสูจน์ได้ว่าผู้ต้องสงสัยที่รันโปรแกรมเช่น CCleaner เพื่อปกปิดการกระทำผิดที่อาจเกิดขึ้น หากโปรแกรมถูกลบไปตั้งแต่นั้นไฟล์ prefetch อาจยังคงมีอยู่ในระบบเพื่อแสดงหลักฐาน การใช้ไฟล์ prefetch
ประโยชน์อีกอย่างหนึ่งคือ ใช้ Windows Prefetch ในการตรวจสอบมัลแวร์ซึ่งสามารถช่วยผู้ตรวจสอบในการกำหนดว่าเมื่อใดจะมีการเรียกใช้โปรแกรมที่เป็นอันตราย เมื่อรวมสิ่งนี้เข้ากับการวิเคราะห์ Timeline ผู้ตรวจสอบสามารถระบุไฟล์ที่เป็นอันตรายเพิ่มเติม จำนวนครั้งที่โปรแกรม run หรือ execute จากการดาวน์โหลดหรือสร้างขึ้นในระบบและช่วยระบุสาเหตุที่แท้จริงของเหตุการณ์ได้
WinPrefetchView เป็นฟรีโปรแกรมที่ใช้ดูประวัติ
prefetch files are found in the directory
Windows Prefetch คืออะไร
เป็นเทคนิคของ Windows ที่ใช้สำหรับการเก็บข้อมูลโปรแกรมที่เราเรียกใช้งานบ่อยๆ โดยจะเก็บเป็นไฟล์ข้อมูลเล็กๆ นามสกุล.pf
ใช้สำหรับการเก็บข้อมูลโปรแกรมที่เราเรียกใช้งานบ่อยๆ ในครั้งต่อไปที่เราเรียกใช้โปรแกรม จะทำให้เรียกใช้โปรแกรมต่างๆ ได้เร็วขึ้นWindows Prefetch จึงมีความสำคัญต่อการสืบสวนนิติดิจิตอล
สำหรับผู้ตรวจสอบทางนิติวิทยาศาสตร์ สามารถใช้ Windows Prefetch เป็นหลักฐานการใช้งานโปรแกรม พวกเขาสามารถพิสูจน์ได้ว่าผู้ต้องสงสัยที่รันโปรแกรมเช่น CCleaner เพื่อปกปิดการกระทำผิดที่อาจเกิดขึ้น หากโปรแกรมถูกลบไปตั้งแต่นั้นไฟล์ prefetch อาจยังคงมีอยู่ในระบบเพื่อแสดงหลักฐาน การใช้ไฟล์ prefetch
ประโยชน์อีกอย่างหนึ่งคือ ใช้ Windows Prefetch ในการตรวจสอบมัลแวร์ซึ่งสามารถช่วยผู้ตรวจสอบในการกำหนดว่าเมื่อใดจะมีการเรียกใช้โปรแกรมที่เป็นอันตราย เมื่อรวมสิ่งนี้เข้ากับการวิเคราะห์ Timeline ผู้ตรวจสอบสามารถระบุไฟล์ที่เป็นอันตรายเพิ่มเติม จำนวนครั้งที่โปรแกรม run หรือ execute จากการดาวน์โหลดหรือสร้างขึ้นในระบบและช่วยระบุสาเหตุที่แท้จริงของเหตุการณ์ได้
WinPrefetchView เป็นฟรีโปรแกรมที่ใช้ดูประวัติ รายละเอียดต่าง ๆ ของ Prefetch
ซึ่งสามารถแสดงรายละเอียดได้ดี กว่าดูจากโฟลเดอร์ของ Prefetch และแสดงผลในรูปแบบที่เข้าใจได้ ง่าย
C:\Windows\Prefetch
. Prefetch files have a .pf
extension
Prefetch files contain the following metadata:
- The name of the corresponding executable
- The number of times the executable has been run
- The size of the prefetch file
- The files and directories that were referenced during the application startup (this is what Windows wants to trace)
- Information related to the volume that the executable is on, including the volume path and serial number.
Here’s a sample of some prefetch files from my test host:
C:\Digital Forensics Tools.exe = DIGITAL FORENSICS TOOLS.EXE-52542CA8.pf
\127.0.0.1\C$\Digital Forensics Tools.exe = DIGITAL FORENSICS TOOLS.EXE-95205518.pf
H:\Digital Forensics Tools.exe = DIGITA~1.EXE-7EC97B47.pf
F:\Digital Forensics Tools.exe = DIGITAL FORENSICS TOOLS.EXE-1C722632.pf
- z:\Digital Forensics Tools.exe is executed
- it is mapped to its UNC path
- \\Localhost\Z\Digital Forensics Tools.exe = DIGITAL FORENSICS TOOLS.EXE-7DE46524.pf
Note that I’ve got several applications with the same name, but a different location. That is evidence by the somewhat-similar hashes, and in many application’s cases, is likely indicative of folder structure change.
No comments:
Post a Comment