هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

ماهي ملفات الـ prefetch والفائده منها في Windows Forensics

مايكروسوفت قامت بعمل آلية تستطيع من خلالها تسجيل بعض المعلومات التي تخص الملفات التنفيذيه في النظام بحيث اذا تم طلبها (تشغيلها) مره اخرى سوف يتم معالجه الطلب بشكل اسرع . يتم تخزين المعلومات في ملفات تدعى  prefetch .

ملفات الـ prefetch تحتوي على معلومات قيمة للتحقيق الجنائي الرقمي لانظمه وندوز , الملفات تحتوي على معلومات تخص البرامج التي عملت في النظام مع عدد المرات التي تم فتح فيها برنامج معين . هذه المعلومات قد تستخدم كدليل لفتح برنامج وعدد المرات وكذلك تاريخ ووقت اخر فتح للبرنامج . في حالة تم حذف البرنامج من النظام , ملفات الـ prefetch تبقى في النظام ولا يتم مسحها وهذا يعتبر مفيد جدا في التحقيق الجنائي ومعرفة البرنامج التي تم تشغيلها . الملفات تحمل امتداد  .PF في نظام وندوز وتوجد داخل ملف Windows في قرص النظام . لكل برنامج منصب على النظام ملف prefetch منفصل لتخزين المعلومات  . على سبيل المثال اذا كان هناك لعبة منصبة على النظام واسم اللعبة ( الملف التنفيذي للعبة) MY-GAME سوف يكون اسم الملف في مجلد الـ prefetch اسم اللعبة متبوع ببعض الاحرف كهاش مميز لكل ملف سوف يكون شبية بالاسم التالي  MY-GAME.EXE-0FE8F3A9.pf .

المعلومات التي توفرها ملفات الـprefetch :

  • اسم الملف التنفيذي
  • عدد المرات التي تم فتح فيها البرنامج
  • تاريخ الانشاء
  • بعض المسارات الخاصه بالملف والمكتبات التي يعتمد عليها

هناك العديد من الادوات الجيده التي توفر لك تحليل لملفات الـ prefetch منها الادوات التاليه

اداة winprefetchview

لا يوجد تعليقات على هذه المقالة

اضف تعليق