Prefetch nedir ? : Prefetch, Windows işletim sisteminin performansını artırmak için kullanılan bir teknolojidir. Prefetch, bilgisayarın belirli uygulamaları daha hızlı başlatmasına yardımcı olmak için kullanılan bir önbellekleme mekanizmasıdır. Bu mekanizma, sık kullanılan uygulamaların ve dosyaların önyükleme verilerini saklar.
Şunuda unutmamak gerekir ki Preftech dosyaları belirli bir kullanıcıya bağlı değildir. Aynı çalışan dosya farklı konumlarda çalıştırılıyorsa iki farklı preftech dosyası oluşturulur. Preftech dosyaları devre dışı bırakılabilir.
Prefetch hakkında bilgiler edindikten sonra Prefetch dosyası nasıl parse edilir ona bakalım ilk olarak FTK Imager ile aldığımız imajı FTK Imager ile açalım. Açmak için belirtilen kısıma “Add Evidence Item” kısmına tıklayıp imajımızı açalım.
Daha sonra Prefetch dosyalarının olduğunu konuma yani sanalmakineyedek.001 > Basic Data Partition > Root > Windows > Prefetch içine gidelim ve içeriden parse etmek istediğimiz prefetch dosyasını export edelim.
Ben Chrome.exe prefetch dosyasını parse edicem o yüzden onu export ediyorum.
Export ettiğimiz dosya masaüstünedeki artifact_dosyaları klasörüne başarıyla export edilmiştir.
Şimdi parse etme işlemine başlayabiliriz bunun için kullanacağımız tool PECmd toolu olacak ilk önce cmd ile toolumuzun içerisine gidiyoruz.
Toolumuzun içine girdikten sonra gerekli terminal kodlarını yazıyoruz ve csv çıktısı alıyoruz.
Parse etme işlememiz başarıyla gerçekleşmiştir.
20240827174230_PECmd_Output ve 20240827174230_PECmd_Output_Timeline olmak üzüre 2 tane csv dosyamız oluşmuştur.
Çıktılarımızı daha iyi anlamak için TimelineExplorer den yardım alıcaz yönetici olarak çalıştırıyoruz.
Çıktılarımızı açtıktan sonra detaylı şekilde inceleyebiliriz.(Run time,executable path, Volume Serial Number, File Size, SHA-1 Hash, Run Count)
.
Prefetch Forensics Anlatım Videosu : https://www.youtube.com/watch?v=zKxKWYKmsvk
0 Yorumlar