Tuesday, July 21, 2020

Digital Forensics:Windows prefetch part II

Digital Forensics:Windows prefetch part II


  วันนี้มาลองทดสอบ Windows prefetch  โดยใช้เครื่องมือ WinPrefetchView
สำหรับผู้ใช้งาน Windows ถ้าสังเกตจะพบโฟลเดอร์ ใน C:\Windows\Prefetch ไม่ทราบว่าใช้ทำอะไร มีประโยชน์อะไรบางหรือเปล่า แล้วทำไมมีไฟล์อยู่เต็มไปหมด

Windows Prefetch คืออะไร

เป็นเทคนิคของ Windows ที่ใช้สำหรับการเก็บข้อมูลโปรแกรมที่เราเรียกใช้งานบ่อยๆ โดยจะเก็บเป็นไฟล์ข้อมูลเล็กๆ นามสกุล .pf  ใช้สำหรับการเก็บข้อมูลโปรแกรมที่เราเรียกใช้งานบ่อยๆ ในครั้งต่อไปที่เราเรียกใช้โปรแกรม  จะทำให้เรียกใช้โปรแกรมต่างๆ ได้เร็วขึ้น

Windows Prefetch จึงมีความสำคัญต่อการสืบสวนนิติดิจิตอล 
สำหรับผู้ตรวจสอบทางนิติวิทยาศาสตร์ สามารถใช้ Windows Prefetch  เป็นหลักฐานการใช้งานโปรแกรม   พวกเขาสามารถพิสูจน์ได้ว่าผู้ต้องสงสัยที่รันโปรแกรมเช่น CCleaner เพื่อปกปิดการกระทำผิดที่อาจเกิดขึ้น หากโปรแกรมถูกลบไปตั้งแต่นั้นไฟล์ prefetch อาจยังคงมีอยู่ในระบบเพื่อแสดงหลักฐาน การใช้ไฟล์ prefetch 
ประโยชน์อีกอย่างหนึ่งคือ ใช้ Windows Prefetch ในการตรวจสอบมัลแวร์ซึ่งสามารถช่วยผู้ตรวจสอบในการกำหนดว่าเมื่อใดจะมีการเรียกใช้โปรแกรมที่เป็นอันตราย เมื่อรวมสิ่งนี้เข้ากับการวิเคราะห์ Timeline  ผู้ตรวจสอบสามารถระบุไฟล์ที่เป็นอันตรายเพิ่มเติม จำนวนครั้งที่โปรแกรม run หรือ execute จากการดาวน์โหลดหรือสร้างขึ้นในระบบและช่วยระบุสาเหตุที่แท้จริงของเหตุการณ์ได้  


WinPrefetchView เป็นฟรีโปรแกรมที่ใช้ดูประวัติรายละเอียดต่าง ๆ ของ Prefetch

ซึ่งสามารถแสดงรายละเอียดได้ดีกว่าดูจากโฟลเดอร์ของ Prefetch และแสดงผลในรูปแบบที่เข้าใจได้ง่าย


prefetch files are found in the directory C:\Windows\Prefetch. Prefetch files have a .pf extension
Prefetch files contain the following metadata:
  • The name of the corresponding executable
  • The number of times the executable has been run
  • The size of the prefetch file
  • The files and directories that were referenced during the application startup (this is what Windows wants to trace)
  • Information related to the volume that the executable is on, including the volume path and serial number.


Here’s a sample of some prefetch files from my test host:

C:\Digital Forensics Tools.exe    = DIGITAL FORENSICS TOOLS.EXE-52542CA8.pf


\127.0.0.1\C$\Digital Forensics Tools.exe  = DIGITAL FORENSICS TOOLS.EXE-95205518.pf

C$Digital Forensics Tools.exe


H:\Digital Forensics Tools.exe  = DIGITA~1.EXE-7EC97B47.pf

F:\Digital Forensics Tools.exe  = DIGITAL FORENSICS TOOLS.EXE-1C722632.pf

  • z:\Digital Forensics Tools.exe is executed
  • it is mapped to its UNC path 
  • \\Localhost\Z\Digital Forensics Tools.exe = DIGITAL FORENSICS TOOLS.EXE-7DE46524.pf



Note that I’ve got several applications with the same name, but a different location. That is evidence by the somewhat-similar hashes, and in many application’s cases, is likely indicative of folder structure change.

สรุปจากทดสอบ
    1 เมื่อUser.เปิดไฟล์ Digital Forensics Tools.exe ใน Drive ที่แตกต่างกัน ค่า prefetch files ที่ได้จึงมีแตกต่างกันตาม 
ทีมา :  

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

No comments:

Post a Comment