Prefetch Dosya Analizi
Microsoft tarafından Windows sistemlerde uygulamaları daha hızlı başlatmak adına çalıştırılan her uygulama için Preftech dosyası oluşturmaktadır. Böylelikle sistemleri daha hızlı hale getirmek amaçlanmıştır. Yani Prefetch, sistemde sık kullanılan ve erişilen verileri kullanıcı için daha hızlı hale getirmek için önbelleğe alarak kullanıcı deneyimini iyileştirmeyi amaçlamıştır. Preftech dosyaları ister GUI ve CLI olsun sistemde çalıştığında otomatik bir şekilde oluşmaktadır. Preftech dosyaları *.pf dosya uzantısına sahiptir. Preftech dosyaları, dosya adı, dosya yolu, programın kaç kez çalıştırıldığı, programın son çalıştırılma zamanı, program tarafından kullanılan DLL’lerin listesi gibi bilgileri içinde tutar.
Preftech dosyaları belirli bir kullanıcıya bağlı değildir. Aynı çalışan dosya farklı konumlarda çalışmış ise iki farklı preftech dosyası oluşmaktadır. Preftech dosyaları devre dışı bırakılabilir.
Preftech dosyaları;
C:WindowsPrefetch %windir%Prefetch
konumunda bulunur.
Preftech Dosya Analizi Nasıl Yapılır?
Forensics bakış açısı ile İşletim sistemlerine performans açısından katkı sağlayan bu özellik, adli analiz sırasında da büyük faydalar sağlamaktadır. preftech dosyaları, dosya adı, dosya yolu, programın kaç kez çalıştırıldığı, programın son çalıştırılma zamanı, program tarafından kullanılan DLL’lerin listesi gibi bilgileri içinde tutuğu için analiz sırasında çok değerli bir kaynaktır.
Preftech dosyalarını analiz etmeden önce dosyaları elde etmemiz gerekmektedir. Preftech dosyaları lokasyonunda dosyalar kopyalanır daha sonra WinPrefetchView ve PECmd gibi toolar kullanılabilir.
Benim favori araçlarımdan olan PECmd kullanımına bahsedeceğim.
PECmd yazıp enter tuşuna basıyoruz. Tool hakkında bilgi ve kullanımı parametrelerini görebiliyoruz.
PECmd.exe -d “E:BelgelerDesktopPrefetch” –csv “E:BelgelerDesktopPrefetch” –csvf out.csv
Komutunu yazıp enterlıyoruz.
-d: prefetch dosyalarının bulunduğu dizin
–csv: parse işleminin çıktısı
–csvf: çıktıya verilen isim
Komutunu yazdıktan sonra parse işlemi başarılı bir şekilde gerçekleştirilmektedir.
Parse işlemi tamamlandıktan sonra karşımıza 2 csv dosyası çıkmaktadır.
Biri adından anlaşılacağı üzere Timeline sıralı olarak yani zaman sırası olarak karşımıza çıkmaktadır.
Prefetch dosyalarını analiz ederken önemli bir nokta ise, oluşturma tarihi uygulamanın ilk çalıştırıldığı (create date) zamanı gösterir son değiştirilme (modified) tarihi ise uygulamanın en son çakıştırıldığı zamanı gösterir.