Na pewno część czytelników slyszała o mechanizmie Prefetch. Był on wielokrotnie opisywany, poniżej przedstawiam zestawienie różnych informacji, które wiedzieć zwyczajnie należy. Prefetch to jedno z domyślnych miejsc, które „odwiedzamy” w trakcie analizy danego obrazu. Nie wymaga wiele pracy, a potrafi przynieść natychmiastowe efekty lub też ukierunkować dalsze działania.
A zatem – czym jest Prefetch?
To mechanizm systemów Windows, który pozwala na zapamiętanie pewnych informacji o danej aplikacji i w efekcie szybszym jej uruchamianiu. Zwykli użytkownicy o tym fakcie nie wiedzą, więc też nie manipulują plikami Prefetch. Dzięki temu otrzymujemy dużo danych co do tego jakich aplikacji używano na danym komputerze.
Gdzie znajdują się pliki .pf?
Foldery C:\Windows\Prefetch lub C:\WINNT\Prefetch
Format nagłówka pliku Prefetch
a) dla WindowsXP
0×64 – Offset to Block containing Filepaths (DWORD)
0×68 – Length of Block containing Filepaths (DWORD)
0x6C – Offset to Volume Information Block (DWORD)
0×78 – Program Last Execution Time (FILETIME)
0×90 – Number of Executions (DWORD)
b) dla Vista/Win7
0×64 – Offset to Block containing Filepaths (DWORD)
0×68 – Length of Block containing Filepaths (DWORD)
0x6C – Offset to Volume Information Blocks (DWORD)
0×80 – Program Last Execution Time (FILETIME)
0×98 – Number of Executions (DWORD)
Liczba plików Prefetch, które mogą się znaleźć w folderze – od 0 do 128.
Dane, które można otrzymać po sparsowaniu plików .pf
- Nazwę pliku docelowego (na ogół .exe)
- Datę ostatniego zapisu do pliku
- Liczbę uruchomień
- Listę plików powiązanych z plikiem docelowym (na ogół biblioteki .dll, pliki .sys) – źródło dodatkowej informacji.
Narzędzia do czytania plików Prefetch
- Windows File Analyzer – http://www.mitec.cz/wfa.html
- EnScript
- skrypty pisane w PERLu
- pakiet ProDiscover
