このページの2つのバージョン間の差分を表示します。
両方とも前のリビジョン 前のリビジョン 次のリビジョン | 前のリビジョン | ||
forensics:prefetch [2012/11/29 02:44] kikuzou |
forensics:prefetch [2012/11/29 04:34] kikuzou |
||
---|---|---|---|
行 1: | 行 1: | ||
~~NOTOC~~ | ~~NOTOC~~ | ||
- | ====== プリフェッチファイルの内容確認 (WinPrefetchView) ====== | + | ====== プリフェッチファイルの内容確認 (WinPrefetchView, PFDump) ====== |
* プリフェッチ(アプリケーションの起動を高速化する機能)で作成されたファイルを確認することにより、プログラムの実行日時・パス・実行回数等が調査出来る。 | * プリフェッチ(アプリケーションの起動を高速化する機能)で作成されたファイルを確認することにより、プログラムの実行日時・パス・実行回数等が調査出来る。 | ||
* Windows XP/ | * Windows XP/ | ||
+ | * Windows 7では、SSDを使用しているとOSがPrefetch機能を自動的に無効にする。 | ||
===== WinPrefetchView ===== | ===== WinPrefetchView ===== | ||
行 11: | 行 12: | ||
{{: | {{: | ||
- | ===== 参考情報 | + | ===== PFDump |
- | * Windows 7 では、SSDを使用しているとOSがPrefetch機能を自動的に無効にする。 | + | * プリフェッチファイルの解析内容をCSV形式で保存するコマンドラインツール |
+ | * [[http:// | ||
+ | ==== Usage ==== | ||
+ | < | ||
+ | --------------------------------------------------------- | ||
+ | -- | ||
+ | -- Version: V.1.0 -- | ||
+ | -- Member of the Malware-Hunters Forensic Toolkit | ||
+ | -- Written by Michael G. Spohn -- | ||
+ | -- | ||
+ | --------------------------------------------------------- | ||
+ | -- Use this tool at your own risk -- | ||
+ | -- NO WARRANTY! | ||
+ | --------------------------------------------------------- | ||
+ | |||
+ | Usage: PFDump [/d] [/h] [/i < | ||
+ | /d, --debug | ||
+ | /h, --help | ||
+ | /i, --input=< | ||
+ | /l, --local | ||
+ | /m, --hostname=< | ||
+ | /o, --output=< | ||
+ | /s, --stdout | ||
+ | /t, --localtimes | ||
+ | /v, --verbose | ||
+ | /V, --version | ||
+ | /w, --html | ||
+ | /x, --xml XML report format | ||
+ | </ | ||