プリフェッチファイルの内容確認 (WinPrefetchView, PFDump)
- プリフェッチ(アプリケーションの起動を高速化する機能)で作成されたファイルを確認することにより、プログラムの実行日時・パス・実行回数等が調査出来る。
- Windows XP/7では「C:\WINDOWS\Prefetch」フォルダに作成されている。
- Windows 7では、SSDを使用しているとOSがPrefetch機能を自動的に無効にする。
WinPrefetchView
- プリフェッチファイル確認ツール
PFDump
- プリフェッチファイルの解析内容をCSV形式で保存するコマンドラインツール
Usage
--------------------------------------------------------- -- PFDump - Prefetch Dump Tool -- -- Version: V.1.0 -- -- Member of the Malware-Hunters Forensic Toolkit -- -- Written by Michael G. Spohn -- -- http://www.malware-hunters.neet -- --------------------------------------------------------- -- Use this tool at your own risk -- -- NO WARRANTY! -- --------------------------------------------------------- Usage: PFDump [/d] [/h] [/i <str>] [/l] [/m <str>] [/o <str>] [/s] [/t] [/v] [/V] [/w] [/x] /d, --debug Create debug log /h, --help Display this notice /i, --input=<str> Input file or directory /l, --local Process local prefetch files /m, --hostname=<str> Hostname /o, --output=<str> Output file - default: PFDump_localhost.txt /s, --stdout Report to stdout /t, --localtimes Include local times /v, --verbose Chatty output /V, --version Show version and exit /w, --html HTML report format /x, --xml XML report format