プリフェッチファイルの内容確認 (WinPrefetchView, PFDump)

  • プリフェッチ(アプリケーションの起動を高速化する機能)で作成されたファイルを確認することにより、プログラムの実行日時・パス・実行回数等が調査出来る。
  • Windows XP/7では「C:\WINDOWS\Prefetch」フォルダに作成されている。
  • Windows 7では、SSDを使用しているとOSがPrefetch機能を自動的に無効にする。

WinPrefetchView

PFDump

Usage

---------------------------------------------------------
--           PFDump - Prefetch Dump Tool               --
--                  Version: V.1.0                     --
--    Member of the Malware-Hunters Forensic Toolkit   --
--            Written by Michael G. Spohn              --
--             http://www.malware-hunters.neet         --
---------------------------------------------------------
--          Use this tool at your own risk             --
--                  NO WARRANTY!                       --
---------------------------------------------------------

Usage: PFDump [/d] [/h] [/i <str>] [/l] [/m <str>] [/o <str>] [/s] [/t] [/v] [/V] [/w] [/x]
  /d, --debug           Create debug log
  /h, --help            Display this notice
  /i, --input=<str>     Input file or directory
  /l, --local           Process local prefetch files
  /m, --hostname=<str>  Hostname
  /o, --output=<str>    Output file - default: PFDump_localhost.txt
  /s, --stdout          Report to stdout
  /t, --localtimes      Include local times
  /v, --verbose         Chatty output
  /V, --version         Show version and exit
  /w, --html            HTML report format
  /x, --xml             XML report format
forensics/prefetch.txt · 最終更新: 2012/11/29 04:34 by kikuzou
 
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Share Alike 4.0 International
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki