Windows Prefetch Dosyası Adli Bilişimi

Windows Prefetch Dosyası Adli Bilişimi

Prefetch dosyası, Windows sisteminizde bir uygulamayı açtığınızda oluşturulan bir dosyadır. Windows, bir uygulama belirli bir alandan ilk kez çalıştırıldığında bir prefetch kaydı yapar.

Prefetch dosyaları Windows XP’de tanıtıldı. Prefetch dosyaları, Windows önyükleme işlemini ve uygulamaların başlatılmasını hızlandırmak için tasarlanmıştır. Windows XP, Vista ve 7’de prefetch dosyalarının sayısı 128 ile sınırlıdır, Windows 8 ve üstü ise 1024’e kadardır.

Programın yürütülmesinin kanıtı, adli bir araştırmacı için önemli bir varlık olabilir, izleri örtmek için sistemde yürütülebilir dosyanın yürütüldüğünü kanıtlayabilirler. Bir adli tıp uzmanı olarak ön hazırlık kaydının adli analizini başlatmadan önce, ön hazırlık sürecinin etkin olup olmadığını kontrol etmelisiniz.

Prefetch dosyasının durumunu denetlemek için Kayıt Defteri Düzenleyicisi’nde aşağıdaki konumu açınız:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

Değer, yukarıdaki resimde gösterildiği gibi varsayılan olarak 3 olarak ayarlanmıştır. Aşağıdaki değerler önceden getirme ihtiyaçlarınıza göre değiştirilebilir. Prefetch dosyasını özelleştirmek için pencerelerin bize sunduğu tüm seçenekler aşağıda açıklanmıştır:

  • 0: Prefetch Devre Dışı
  • 1: Uygulama Prefetch Etkin
  • 2: Önyükleme Prefetch Etkin
  • 3: Uygulama ve Önyükleme Etkin

Tek bir prefetch dosyasında bulunan meta veriler aşağıdaki gibidir:

  • Yürütülebilir dosyanın adı
  • Çalıştırılabilir yolun sekiz karakterlik karması.
  • Yürütülebilir dosyanın yolu
  • Yürütülebilir dosyanın oluşturulması, değiştirilmesi ve erişilen zaman damgası
  • Çalıştırma sayısı (Uygulamanın çalıştırılma sayısı)
  • Son çalışma zamanı
  • Son 8 çalıştırma süresinin zaman damgası (son 1 çalıştırma süresi ve diğer 7 diğer son çalıştırma zamanı)
  • Hacim bilgisi
  • Yürütülebilir dosya tarafından başvurulan dosya
  • Yürütülebilir dosya tarafından başvurulan dizinler

Prefetch dosyaları%SystemRoot%\Prefetch (C:\Windows\Prefetch) altına kaydedilir.

Prefetch dosyaları konumunu açabilirsiniz ya da doğrudan çalıştır komutunda “prefetch” için arama yapabilirsiniz.

Tüm komut satırı sevenler için iyi bir haber olan komut isteminden bir dizin olarak da açılabilir.

Prefetch Dosyalarının Adli Analizi

WinPrefetch View

WinPrefetch View, sisteminizde depolanan önceden getirilmiş dosyaları okumak ve incelemek için bir araçtır. Bu yardımcı program, Windows XP’den Windows 10’a kadar tüm Windows sürümlerinde çalışır.

Aracı buradan indirebilirsiniz.

Belirli bir prefetch dosyasının ayrıntılarını, üzerine tıklayarak kolayca açabilirsiniz. Burada ayrıntılı bir görünüm için HFS.EXE-D3CAF0BF.pf dosyasını açınız. Oluşturma zamanı, değiştirilme zamanı, dosya boyutu, işlem çalıştırma sayısının yolu, son çalıştırma süresi, eksik işlem gibi ayrıntıları gösterir.

OS Forensic Tool

OS Forensic, Passmark yazılımı tarafından adli inceleme için paket olan dijital adli bir araçtır. Veri ayıklamak, analiz etmek, dosyaları aramak, silinen şifreleri kurtarmak, silinen kanıtları kurtarmak ve çok daha fazlası için kullanılır.

Aracı buradan indirebilirsiniz.

Prefetch Explorer Command Line ( PECmd)

PECmd, Eric Zimmerman tarafından hazırlanan ve önceden getirilen dosyaların toplu analizi için kullanılan bir komut satırı aracıdır. Bu araç ayrıca önceden getirilmiş yapılarınızı .csv ve .css’ye aktarabilir .

Aracı buradan indirebilirsiniz.

Başlamak için yürütülebilir dosyayı çalıştırınız. Bu aracı kullanarak tüm prefetch dosyasını ayrıştıralım. Prefetch dosyasını ayrıştırmak için –d parametresini kullanacağız.

PECmd.exe –d "C:\Windows\Prefetch"

Aşağıdaki görüntüde firefox.exe için prefetch dosyasını görebilirsiniz. Araç, giriş bölümünde açıklandığı gibi tüm meta verileri ayrıştırmıştır.

Benzer şekilde, aşağıdaki görüntüde, HFS.exe için ön getirme dosyasını gözlemleyebilirsiniz . Bu tür dosyalar, eriştiğiniz her uygulama için oluşturulacaktır.

FTK İmager

Bir adli araştırmacı olarak, size verilen davayı anlamak için her zaman prefetch dosyalarına erişebilmelisiniz. Çünkü bu dosyalar aracılığıyla, araştırdığınız sistemde sıkça kullanılan şeyin ne olduğu belirleyebilirsiniz. Bu işlem FTK Imager ile kolayca yapılabilir. FTK Imager, sürücüde bulunan prefetch dosyasını görüntülemenizi ve analiz etmenizi sağlar. FTK üzerinden prefetch dosyasına erişmek için, söz konusu aracı açınız ve aşağıdaki resimde vurgulandığı gibi sol paneldeki prefetch klasörünü arayınız:

Şimdi bu dosyaları doğru olarak anlamak, özelleştirmek, erişim ve istediğimiz gibi kullanabiliriz. Prefetch dosyaları hakkında bilmeniz gereken en önemli şey, kötü amaçlı yazılımları herhangi bir şekilde geri izlemek söz konusu olduğunda çok değerli olabiliyor. Sistemde çalıştırılan exe dosyası, prefetch dosyalarına kaydedilir. Bu nedenle, kötü amaçlı bir dosya çalıştırılırsa, bunu bu şekilde takip edebilirsiniz.

Okuduğunuz için teşekkür ederim.

KAYNAKÇA:

(en)https://www.hackingarticles.in/forensic-investigation-prefetch-file/

Related Posts

Leave a Reply