Статья Форензика Prefetch в Windows

  • Автор темы Sunnych
  • Дата начала
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Недавно я писал о том как Виртуализировать криминалистические образы в Windows так вот один из вариантов исследования в живую это осмотр файлов *.pf - файлы
появилась данная служба в Windows XP и до сих пор включая Windows 10 и Server 2016 работает, смотрим состояние в Registry Keys
Код:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters
Значения:
  1. " 0" - Disabled
  2. "1" - Application launch prefetching enabled
  3. "2" - Boot prefetching enabled
  4. "3" - Application launch and boot enabled (default)
Prefetcher наблюдает за запуском каждого приложения в течение первых 10 секунд. Наблюдение за процессом загрузки системы ограничено по времени и прекращается в следующих случаях:
  • по истечении 30 секунд с момента запуска пользовательской оболочки
  • по истечении 60 секунд с момента завершения инициализации всех служб
  • по истечении 120 секунд с момента начала загрузки системы
Основываясь на различных ссылках, Windows поддерживает папку предварительной выборки до 128 записей.

Есть комплексы FTK, EnCase и.т.д которые сразу дадут исчерпывающие данные из файлов *.pf, но не нужно забывать какие эти продукты дорогие и ресурсоёмкие и ещё бывают разные жизненные и рабочие моменты.
Мы с Вами рассмотрим программу WinPrefetchView (бесплатна, портабельна и доступна для х86 и х64), я приведу только малый пример в роли suspect буду я.

статья1.jpg
дату и время файла мы видим, откуда он скачан мы определили как я рассказывал в этой статье Форензика альтернативного потока данных (Zone.Identifier) в NTFS, остается ещё раз подтвердить его скачивание и запуск или установку. Осматриваем файлы системы по этому пути
Код:
c:\Windows\Prefetch\
и что мы видим
статья2.jpg
Запускаем WinPrefetchView и останавливаем свой взгляд на интересующем нас файле
статья3.jpg
изучим каждый файл в отдельности - 1й, двойной клик, видим Process Path: D:\DOWNLOADS\DB.BROWSER.FOR.SQLITE-3.10.1-WIN64.EXE это момент когда файл записался в файловую систему (я его скачивал)
статья4.jpg
2й файл, двойной клик, видим Process Path: D:\DB BROWSER FOR SQLITE\DB BROWSER FOR SQLITE.EXE это момент когда я установил в раздел D: саму программу
статья5.jpg
P:S​
Надеюсь я ещё продолжу тему Prefetch. Ах да думаю Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid Вас подготовит, а пока прибегайте к помощи своих рук и заботьтесь о anti forensics - не забывайте отключать в системе Prefetch & Superfetch.
 
Последнее редактирование:
Мы в соцсетях: