#Prefetch파일 #Prefetch파일분석 #포렌식 (1) 썸네일형 리스트형 [포렌식] Prefetch 파일 분석 프로그램을 한번실행하면 라이브러리등을 불러오면서 시간이걸린다. 그후에 이 정보를 저장해두고 그후에 다음 실행할때는 빠른속도로 실행이된다. 이러한 정보를 Perfetch 에서 확인가능하다. 위의 경로로 가보자. 그러면 이렇게 perfetch 파일을 볼수있다. 어떤 사람이 나는 이러한 프로그램을 실행한적이 없다 했을때 이걸확인하여 진짜인지 확인가능. ASDCLI.EXE-C739B721.pf pf는 확장자 c739b721 은 exe의 경로해쉬값 정도라고 생각하면된다. exe가 실행될때 pf가있는지 확인하는데 같은 exe가 여러군대 있을수있으니 뒤의 시리얼값을 보고 판단한다. https://k4keye.tistory.com/45 [포렌식] Windows Artifact 분석 일반 .. 이전 1 다음
