【概要】
■Prefetch
| 項目 |
内容 |
|---|---|
| 導入 | WindowsXP からPrefetch を導入 |
| 生成時間 | プログラムが起動10秒後に、ファイルを作成 (時間差に注意) |
| フォルダー | C:\Windows\Prefetch |
| ファイル名 | 「プログラム名-フルパスのハッシュ値.pf」のファイルが作成される |
| パスのハッシュ値 | プログラムのフルパスから計算 |
| PFファイルの記録内容 | ●プログラムのフルパス ●実行日時 ●実行回数 ●プログラムが起動時に読み込んだファイル名(DLLファイルなど) ●ボリューム関連情報 |
| PFファイル数の上限 | ●Windows 7以前: 128個 ●Windows 8.x以降: 1024個 |
| 備考 | コマンドラインやオートラン機能(autorun.inf)などにより実行したプログラムもPFファイルを作成 |
【ブログ】
◆簡易解析入門 プログラム実行の痕跡の調査 (1)Prefetch (SecTan Lab., 2015/03/14)
http://sectanlab.sblo.jp/article/115076023.html
【関連まとめ記事】
◆プリフェッチ解析 (まとめ)
https://security-tools.hatenablog.com/entry/Prefetch
