TT Security Tools

簡易解析入門プログラム実行の痕跡の調査 (1)Prefetch

ツール: Prefetch (プリフェッチ解析)

【概要】

Prefetch は WindowsXP から導入
プログラムが起動10秒後に、ファイルが作成
C:\Windows\Prefetchフォルダに、ファイル名が「プログラム名-フルパスのハッシュ値.pf」のファイルが作成
ハッシュ値は、プログラムのフルパスから計算
PFファイルには、プログラムのフルパス、実行日時、実行回数、プログラムが起動時に読み込んだファイル名（DLLファイルなど）、ボリューム関連情報が記録
コマンドラインやオートラン機能（autorun.inf）などにより実行したプログラムもPFファイルが作成
PFファイルは最大で128個程度作成(Windows 8.x以降は、1024個に拡張)

【ブログ】

◆簡易解析入門プログラム実行の痕跡の調査 (1)Prefetch (SecTan Lab., 2015/03/14)
http://sectanlab.sblo.jp/article/115076023.html

【関連まとめ記事】

◆全体まとめ

◆プリフェッチ解析ツール (まとめ)
https://security-tools.hatenablog.com/entry/Prefetch

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2022