Недавно я писал о том как Виртуализировать криминалистические образы в Windows так вот один из вариантов исследования в живую это осмотр файлов *.pf - файлы
появилась данная служба в Windows XP и до сих пор включая Windows 10 и Server 2016 работает, смотрим состояние в Registry Keys
Значения:
Есть комплексы FTK, EnCase и.т.д которые сразу дадут исчерпывающие данные из файлов *.pf, но не нужно забывать какие эти продукты дорогие и ресурсоёмкие и ещё бывают разные жизненные и рабочие моменты.
Мы с Вами рассмотрим программу WinPrefetchView (бесплатна, портабельна и доступна для х86 и х64), я приведу только малый пример в роли suspect буду я.
дату и время файла мы видим, откуда он скачан мы определили как я рассказывал в этой статье Форензика альтернативного потока данных (Zone.Identifier) в NTFS, остается ещё раз подтвердить его скачивание и запуск или установку. Осматриваем файлы системы по этому пути
и что мы видим
Запускаем WinPrefetchView и останавливаем свой взгляд на интересующем нас файле
изучим каждый файл в отдельности - 1й, двойной клик, видим Process Path: D:\DOWNLOADS\DB.BROWSER.FOR.SQLITE-3.10.1-WIN64.EXE это момент когда файл записался в файловую систему (я его скачивал)
2й файл, двойной клик, видим Process Path: D:\DB BROWSER FOR SQLITE\DB BROWSER FOR SQLITE.EXE это момент когда я установил в раздел D: саму программу
Ссылка скрыта от гостей
появилась данная служба в Windows XP и до сих пор включая Windows 10 и Server 2016 работает, смотрим состояние в Registry Keys
Код:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters
- " 0" - Disabled
- "1" - Application launch prefetching enabled
- "2" - Boot prefetching enabled
- "3" - Application launch and boot enabled (default)
- по истечении 30 секунд с момента запуска пользовательской оболочки
- по истечении 60 секунд с момента завершения инициализации всех служб
- по истечении 120 секунд с момента начала загрузки системы
Есть комплексы FTK, EnCase и.т.д которые сразу дадут исчерпывающие данные из файлов *.pf, но не нужно забывать какие эти продукты дорогие и ресурсоёмкие и ещё бывают разные жизненные и рабочие моменты.
Мы с Вами рассмотрим программу WinPrefetchView (бесплатна, портабельна и доступна для х86 и х64), я приведу только малый пример в роли suspect буду я.
Код:
c:\Windows\Prefetch\
P:S
Надеюсь я ещё продолжу тему Prefetch. Ах да думаю Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid Вас подготовит, а пока прибегайте к помощи своих рук и заботьтесь о anti forensics - не забывайте отключать в системе Prefetch & Superfetch.
Последнее редактирование: