プリフェッチファイルの内容確認 (WinPrefetchView, PFDump)

• プリフェッチ(アプリケーションの起動を高速化する機能)で作成されたファイルを確認することにより、プログラムの実行日時・パス・実行回数等が調査出来る。
• Windows XP/7では「C:\WINDOWS\Prefetch」フォルダに作成されている。
• Windows 7では、SSDを使用しているとOSがPrefetch機能を自動的に無効にする。

• プリフェッチファイル確認ツール
  • NirSoft - WinPrefetchView

• プリフェッチファイルの解析内容をCSV形式で保存するコマンドラインツール
  • The Malware Hunters: Downloads - PFDump

---------------------------------------------------------
--           PFDump - Prefetch Dump Tool               --
--                  Version: V.1.0                     --
--    Member of the Malware-Hunters Forensic Toolkit   --
--            Written by Michael G. Spohn              --
--             http://www.malware-hunters.neet         --
---------------------------------------------------------
--          Use this tool at your own risk             --
--                  NO WARRANTY!                       --
---------------------------------------------------------

Usage: PFDump [/d] [/h] [/i <str>] [/l] [/m <str>] [/o <str>] [/s] [/t] [/v] [/V] [/w] [/x]
  /d, --debug           Create debug log
  /h, --help            Display this notice
  /i, --input=<str>     Input file or directory
  /l, --local           Process local prefetch files
  /m, --hostname=<str>  Hostname
  /o, --output=<str>    Output file - default: PFDump_localhost.txt
  /s, --stdout          Report to stdout
  /t, --localtimes      Include local times
  /v, --verbose         Chatty output
  /V, --version         Show version and exit
  /w, --html            HTML report format
  /x, --xml             XML report format