Prefetch 개념 및 실습

• 응용프로그램의 빠른 실행을 위해서 존재하는 파일
• 응용프로그램을 실행할 때에 생성
  • 실행 파일 이름, 경로
  • 실행 파일의 실행 횟수
  • 실행 파일의 마지막 실행 시간
  • 실행 파일의 최초 실행 시간

​

프리패치의 경로

%SystemRoot%\Prefetch

​

WinPrefetchView 사용하여 분석

https://www.nirsoft.net/utils/win_prefetch_view.html

 

스크롤하여 하단의 64bit 버전을 다운로드 받는다.

​

다운로드 받은 exe 파일을 열면 화면처럼 자동으로 prefetch들을 가져온 것을 알 수 있다.

​

그러나 실제 상황에서, 내가 분석할 컴퓨터에 이 실행프로그램을 다운로드 받는다면 이는 무결성을 침해하는 것이 된다.

​

이때 writeblocker와 같은 별도의 도구를 사용하여 해결할 수도 있겠지만 이 프리패치 파일들을 별도로 수집해서 열 수도 있다. (아까 다운로드 받고 압축을 풀어준 경로로 가서 cmd를 열어준 후 Winprefetch 도구를 옵션과 함께 열어주면 된다)

​

+)옵션 사용법

​

프리패치의 경로도 직접 확인해보자.

%SystemRoot%\Prefetch

수많은 pf 확장자 파일들이 있는 것을 확인할 수 있다.

​

오늘 사용한 도구인 Winprefetch가 이 pf 파일들을 자동으로 가져왔던 것이다.

다시 도구로 돌아가 확인해보면,

그저께 했던 TEKKENGAME 등 나의 실행흔적들이 남아있는 것을 확인할 수 있다.

​

또한 더블 클릭해보면,

파일이름과, 카운터 (실행횟수) , 생성 시간과 변경 시간, 경로, 마지막 실행시간을 알 수 있다.

​

이 때 중요한 점은, 삭제되거나 경로가 변경된다고 해서 프리패치가 삭제되지 않는다는 점이다.

​

Winprefetch는 응용프로그램의 삭제 여부와 상관없이 실행됐던 모든 응용프로그램의 경로를 알 수 있다는 점에서 의미가 있다.

​

또한 분석 도구 중에서도 보기 편한 편에 속하기 때문에, 응용프로그램을 추적 해야될 때 우선적으로 사용해보면 좋다.

​