我們在調查一台主機時,往往會想知道這台主機到底執行過哪些程式,以及他到底是什麼時間啟動的,在 Windows 的數位鑑識調查裡,可以從 C:\Windows\Prefetch 裡的 .pf 檔案去做解析可得知這台電腦到底執行過哪些程式,但 Windows 版本不同,他的 Binary 格式也有所不同,像 XP、Server 2003 他跟 Win7、Server 2008 Binary 位移就不一樣,而且他們的執行時間只記錄最後一次那筆,到 Win8 後他執行時間都會有紀錄,Win10 後他的 Binary 又多做一層壓縮演算法,所以要先解壓在解析 .pf 檔,看解析後的下圖:
我們可以看到 exe 的名稱與路徑,他的建立時間、修改時間、檔案大小,但最主要的是會去看到執行次數與最後執行時間,因為在分析可疑程式時,第一會去找該 exe 的路徑是否在那些常看到的不尋常路徑,像 Temp、Appdata 底下那些目錄下層,要是有就會觀察他執行時間的變動,看是不是跟我上次說的開機啟動那篇一些手法起來時間吻合,要是有就多好幾個方向做調查,這些都是數位鑑識調查的眉角,有興趣的朋友可以參考看看。
要是對這些鑑識調查系統資訊模組或工具製作有興趣,可以到粉絲團 facebook.com/rexlintechnology 跟我留言或聯絡,不吝嗇給個讚跟追蹤吧!
文章標籤
全站熱搜
留言列表
