Prefetch Analizi
Prefetch Dosya Analizi
Microsoft
tarafından Windows sistemlerde uygulamaları daha hızlı başlatmak adına
çalıştırılan her uygulama için Preftech dosyası oluşturmaktadır. Böylelikle
sistemleri daha hızlı hale getirmek amaçlanmıştır. Yani Prefetch, sistemde sık
kullanılan ve erişilen verileri kullanıcı için daha hızlı hale getirmek için
önbelleğe alarak kullanıcı deneyimini iyileştirmeyi amaçlamıştır. Preftech
dosyaları ister GUI ve CLI olsun sistemde çalıştığında otomatik bir şekilde
oluşmaktadır. Preftech dosyaları *.pf dosya uzantısına sahiptir. Preftech
dosyaları, dosya adı, dosya yolu, programın kaç kez çalıştırıldığı, programın
son çalıştırılma zamanı, program tarafından kullanılan DLL’lerin listesi gibi
bilgileri içinde tutar.
Preftech
dosyaları belirli bir kullanıcıya bağlı değildir. Aynı çalışan dosya farklı
konumlarda çalışmış ise iki farklı preftech dosyası oluşmaktadır. Preftech
dosyaları devre dışı bırakılabilir.
Preftech
dosyaları;
C:\Windows\Prefetch %windir%\Prefetch
konumunda
bulunur.
Preftech Dosya Analizi Nasıl Yapılır?
Forensics
bakış açısı ile İşletim sistemlerine performans açısından katkı sağlayan bu
özellik, adli analiz sırasında da büyük faydalar sağlamaktadır. preftech
dosyaları, dosya adı, dosya yolu, programın kaç kez çalıştırıldığı, programın
son çalıştırılma zamanı, program tarafından kullanılan DLL’lerin listesi gibi
bilgileri içinde tutuğu için analiz sırasında çok değerli bir kaynaktır.
Preftech
dosyalarını analiz etmeden önce dosyaları elde etmemiz gerekmektedir. Preftech
dosyaları lokasyonunda dosyalar kopyalanır daha sonra WinPrefetchView ve PECmd
gibi toolar kullanılabilir.
Benim
favori araçlarımdan olan PECmd kullanımına bahsedeceğim.
PECmd yazıp
enter tuşuna basıyoruz. Tool hakkında bilgi ve kullanımı parametrelerini
görebiliyoruz.
PECmd.exe -d "E:\Belgeler\Desktop\Prefetch"
--csv "E:\Belgeler\Desktop\Prefetch" --csvf out.csv
Komutunu
yazıp enterlıyoruz.
-d:
prefetch dosyalarının bulunduğu dizin
--csv:
parse işleminin çıktısı
--csvf:
çıktıya verilen isim
Komutunu
yazdıktan sonra parse işlemi başarılı bir şekilde gerçekleştirilmektedir.
Parse
işlemi tamamlandıktan sonra karşımıza 2 csv dosyası çıkmaktadır.
Biri
adından anlaşılacağı üzere Timeline sıralı olarak yani zaman sırası olarak
karşımıza çıkmaktadır.
Prefetch
dosyalarını analiz ederken önemli bir nokta ise, oluşturma tarihi uygulamanın
ilk çalıştırıldığı (create date) zamanı gösterir son değiştirilme (modified)
tarihi ise uygulamanın en son çakıştırıldığı zamanı gösterir.
