Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- Autopsy
- AWS Elasticsearch
- kubernetes
- 보안기사
- 포렌식
- TSK
- 정보보안기사
- 정보보안
- hacking case
- 해킹
- forensic
- AWS EKS
- k8s
- SMS-P 인증 기준 안내서 요약
- AWS
- ISMS-P 인증심사원
- AWS 쿠버네티스
- isms-p
- 쿠버네티스
- artifacts
- The Sleuth Kit
- CFReDS
- 정보보안기사 실기
- iam
- AWS Opensearch
- 실습
- 보안
- 모의해킹
- ISMS
- AWS EKS Udemy
Archives
- Today
- Total
Always-Try(정보보안 및 일상)
포렌식/윈도우 - Windows 10 Artifacts - Prefetch 본문
본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard)
맥으로 배우는 윈도우즈 포렌식 - 인프런
유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다. 초급 보안 Forensic Microsoft Windows 정보보안 온라인 강의 forensic
www.inflearn.com
#1. Prefetch
1-1. Prefetch 란?
OS가 파일을 실행할 때 빠르게 실행할 수 있도록 애플리케이션이 사용하는 자원을 미리할당 해놓는 것이다, 파일의 마지막 실행 시간, 실행 횟수 등등을 확인할 수 있다. Win10 부터 MAM 형태로 압축되어 있어서 압축을 해제 해야만 내용을 확인할 수 있다.
강의에서 저자는 w10pfdecomp.py 파일을 이용하여 MAM 압축을 해제한다. (mac에서 되는지 볼 것)
1-2. Prefetch 파일을 타임라인 순서대로 정리 (with Plaso log2timeline)
바로 위에서 진행한 것처럼 MAM 압축을 해제한 pf 파일들을 일일이 열어보고 확인하는 것은 어렵다. 그래서 한눈에 보기 좋게 정리하기 위해 Plaso 도구의 log2timeline.py 를 이용한다.
그럼 시간순대로 prefetch가 정렬된 csv 파일을 볼 수 있다.
끝.
'Forensic' 카테고리의 다른 글
| 포렌식/윈도우 - Carving (PE 파일 추출 실습 포함-with 010 Editor) (0) | 2021.02.28 |
|---|---|
| 포렌식/윈도우 - Windows 10 Artifacts - Web History (0) | 2021.02.27 |
| 포렌식/윈도우 - Windows 10 Artifacts 개요 (추출 실습 포함) (0) | 2021.02.27 |
| 포렌식 기초 - Slack Space 추출 (0) | 2021.02.27 |
| 포렌식 기초 - 삭제된 파일 복구 (0) | 2021.02.27 |
'Forensic' Related Articles
more
Comments