프로그램을 한번실행하면 라이브러리등을 불러오면서 시간이걸린다.
그후에 이 정보를 저장해두고
그후에 다음 실행할때는 빠른속도로 실행이된다.
이러한 정보를 Perfetch 에서 확인가능하다.
위의 경로로 가보자.
그러면 이렇게 perfetch 파일을 볼수있다.
어떤 사람이 나는 이러한 프로그램을 실행한적이 없다 했을때 이걸확인하여 진짜인지 확인가능.
ASDCLI.EXE-C739B721.pf
pf는 확장자
c739b721 은 exe의 경로해쉬값 정도라고 생각하면된다.
exe가 실행될때 pf가있는지 확인하는데
같은 exe가 여러군대 있을수있으니 뒤의 시리얼값을 보고 판단한다.
https://k4keye.tistory.com/45
[포렌식] Windows Artifact 분석
일반 파일 분석 만든시각(Created Time) : 파일이 생성된 시간 수정한시각(Modified Time) : 파일이 수정된 시간 접근시각(Accessed Time) : 파일이 읽혀진 시간 이있는데 실제 어떻게 보이는지 확인해보자...
k4keye.tistory.com
파일의 만든 시각과 수정된 시각을 통해 해당 프로그램의 실행 시간을 유추 할수있다.
'보안' 카테고리의 다른 글
| SQLmap 을 이용한 SQL인젝션 (0) | 2019.06.18 |
|---|---|
| [포렌식 도구] Shortcut 파일 ,WFA (0) | 2019.05.21 |
| [포렌식 도구] IECacheView(임시 인터넷 파일) (0) | 2019.05.21 |
| [포렌식 도구] BrowsingHistoryView(브라우저에 대한 히스토리) (0) | 2019.05.21 |
| [포렌식] 레지스트리 증거 수집 및 분석 (0) | 2019.05.21 |
