【目次】
ツール
【プリフェッチ解析】
◆PECmd (まとめ) ★★★
https://security-tools.hatenablog.com/entry/PECmd
◆Prefetch EricZimmerman (まとめ) ★★★
https://security-tools.hatenablog.com/entry/Prefetch_Zimmerman
◆WinPrefetchView (まとめ) ★★★
https://security-tools.hatenablog.com/entry/WinPrefetchView
◆PFDump (まとめ)
https://security-tools.hatenablog.com/entry/PECmd
⇒ https://security-tools.hatenablog.com/entry/2011/04/19/000000
⇒ https://malware-log.hatenablog.com/entry/2011/04/19/000000
◆Windows-Prefetch-Parser (まとめ)
https://security-tools.hatenablog.com/entry/Windows-Prefetch-Parser
概要
【概要】
■Prefetch
| 項目 |
内容 |
|---|---|
| 導入 | WindowsXP からPrefetch を導入 |
| 生成時間 | プログラムが起動10秒後に、ファイルを作成 (時間差に注意) |
| フォルダー | C:\Windows\Prefetch |
| ファイル名 | 「プログラム名-フルパスのハッシュ値.pf」のファイルが作成される |
| パスのハッシュ値 | プログラムのフルパスから計算 |
| PFファイルの記録内容 | ●プログラムのフルパス ●実行日時 ●実行回数 ●プログラムが起動時に読み込んだファイル名(DLLファイルなど) ●ボリューム関連情報 |
| PFファイル数の上限 | ●Windows 7以前: 128個 ●Windows 8.x以降: 1024個 |
| 備考 | コマンドラインやオートラン機能(autorun.inf)などにより実行したプログラムもPFファイルを作成 |
記事
【ブログ】
◆簡易解析入門 プログラム実行の痕跡の調査 (1)Prefetch (SecTan Lab., 2015/03/14)
http://sectanlab.sblo.jp/article/115076023.html
https://security-tools.hatenablog.com/entry/2022/03/20/000000
【検索】
google: プリフェッチ
google: Prefetch
google:news: プリフェッチ
google:news: Prefetch
google: site:virustotal.com プリフェッチ
google: site:virustotal.com Prefetch
google: site:github.com プリフェッチ
google: site:github.com Prefetch
■Bing
https://www.bing.com/search?q=プリフェッチ
https://www.bing.com/search?q=Prefetch
https://www.bing.com/news/search?q=プリフェッチ
https://www.bing.com/news/search?q=Prefetch
https://twitter.com/search?q=%23プリフェッチ
https://twitter.com/search?q=%23Prefetch
https://twitter.com/hashtag/プリフェッチ
https://twitter.com/hashtag/Prefetch
