프리패치 분석 도구
둘러보기로 가기
검색하러 가기
프리패치란 Windows 운영체제에서 응용프로그램이 사용하는 시스템 자원을 특정 파일에 미리 저장하여, 프로그램 실행을 빠르게 도와주는 파일이다. 이 파일에는 프로그램 이름, 실행 횟수, 마지막 실행시각, 참조파일목록, 파일시스템 시간 정보 등이 저장된다. 따라서 프리패치 분석을 통해 프로그램의 마지막 실행 시간을 확인 할 수 있고 악성 코드 실행 흔적 또한 발견할 수 있다.
- APFA(Advanced Prefetch File Analyzer)
- Prefetch Parser
- PrefetchForensics
- WinPrefetchView
- Windows Prefetch Parser (pf)
프리패치 분석 도구 기능 분석[편집]
프리패치 분석 도구는 현장에서 Windows XP 이상 버전의 Windows 시스템의 프리패치파일을 수집하고 수집된 자료를 분석하여 GUI 형태로 결과를 보여주거나 보고서를 생성하는 도구이다. 현재 개발되어 사용 중이거나 오픈소스, 프리웨어인 여러 로그 분석 도구는 기본적으로 시스템 의 프리패치파일의 파싱 기능은 공통적으로 포함하고 있으며, 각 제품별로 기능에 약간의 차이를 두고 특성화되어 있다고 할 수 있다.
도구 기능 분석 전략[편집]
선별된 프리패치파일 분석 도구의 정확한 비교ㆍ분석을 위해 Windows XP 환경에서 테스트 데이터 세트를 구축하였다. 동일한 프리패치 파일을 입력해 도구가 보여주는 프리패치 파일의 정보 종류를 중점으로 도구를 비교할 예정이다. 테스트 데이터 세트에 포함될 프리패치 분석 도구의 세부 기능은 [표 1]와 같다.
| 구분 | 기능 |
|---|---|
| 프리패치 분석 도구 평가 항목 | 사용하는DLL |
| 경로해시 | |
| 파일사이즈 | |
| 유니코드오프셋 | |
| 유니코드사이즈 | |
| 볼륨네임 | |
| 볼륨시리얼번호 | |
| 마지막수정 | |
| 마지막접근 | |
| 생성시간 | |
| 임베디드시간 | |
| 포맷시간 | |
| 실행횟수 | |
| 해당프로세스경로 | |
| 해당프로세스이름 | |
| missing process | |
| calc해시 | |
| 볼륨시간 | |
| 참조경로 | |
| 한글지원 |
테스트 결과[편집]
구축된 테스트 데이터 세트 환경에서 분석도구를 테스트 및 비교한 결과는 [표 2]와 같다. 비교 결과 프리패치 파일 분석 도구는 각각 보여주는 기능이 모두 다르고 각각 장단점이 존재한다.
| APFA | Prefetch Parser |
Prefetch Forensics |
winprefetchview | pf | |
|---|---|---|---|---|---|
| 사용하는DLL | O | O | O | O | O |
| 경로해시 | O | X | O | X | X |
| 파일사이즈 | O | X | X | O | X |
| 유니코드오프셋 | O | X | X | X | X |
| 유니코드사이즈 | O | X | X | X | X |
| 볼륨네임 | O | X | O | X | O |
| 볼륨시리얼번호 | O | X | O | X | O |
| 마지막수정 | O | X | O | O | O |
| 마지막접근 | O | X | O | O | O |
| 생성시간 | O | X | O | O | O |
| 임베디드시간 | O | O | X | X | O |
| 포맷시간 | O | X | X | X | X |
| 실행횟수 | X | O | O | O | O |
| 해당프로세스경로 | X | X | X | O | O |
| 해당프로세스이름 | X | X | X | O | O |
| missing process | X | X | X | O | X |
| calc해시 | X | X | O | X | X |
| 볼륨시간 | X | O | O | O | O |
| 참조경로 | O | X | X | O | X |
| 한글지원 | X | X | O | O | X |
