소개[편집]

PrefetchForensics은 woanware에서 개발한 프리패치 분석 도구로 무료 배포하고 있다. 최신 업데이트 일자는 2011년 6월 21일이며, 최신 버전은 1.0.4이다. 본 항에서는 최신버전인 1.0.4를 기반으로 보고서를 작성하였다. PrefetchForensics은 GUI 기반이며 Windows 운영체제에서 사용 가능하다. PrefetchForensics은 프리패치 파일을 파싱하여 각 프리패치 파일이 가지는 정보 등을 화면에 보여주고 CSV, HTML 파일포맷으로 결과를 출력하는 기능을 제공한다. PrefetchForensics의 실행화면은 [그림 1]과 같다.

[그림 1] PrefetchForensics 실행 화면

사용법[편집]

좌측 상단의 버튼을 선택하여 프리패치 파일을 파싱하면 중앙 화면에 프리패치가 저장하고 있는 정보가 출력된다. 출력된 결과 중 한 레코드를 선택하면 화면 하단에 선택한 프로그램이 참조하는 파일과 볼륨 정보를 보여준다.

도구 기능[편집]

APFA 프로그램과 기능이 거의 비슷하지만 PrefetchForensics는 볼륨정보도 확인할 수 있다. 좌측 상단의 Export 탭을 선택하면 프리패치 파일을 파싱한 결과를 CSV, HTML 파일 형태로 출력할 수 있다. 출력 시 SHORT 이나 LONG을 선택해야 한다. SHORT은 프리패치 파일이름과 생성, 수정, 최근 실행 시간과 실행횟수, 해시 값이 존재하고 LONG은 각 프리패치 파일이 참조하는 파일목록이 포함된다. 또한 결과목록에 있는 프로그램을 선택하면 해당 프로그램이 사용하는 자원의 목록 및 볼륨정보를 확인할 수 있다. 상단 Tools 탭을 선택하면 UTC 시간을 설정할 수 있다.

제한사항[편집]

PrefetchForensics는 APFA에 비해 더 간단하게 프리패치파일을 분석할 수 있다. 하지만 실행을 위해선 설치를 해야 하는 단점이 존재한다.

수사 활용 방안[편집]

수사 현장에서 프리패치 파일의 정보를 수집 하여 분석할 경우 PrefetchForensics는 다른 프리패치 분석 프로그램 보다 프리패치의 정보를 가장 빠르고 쉽게 확인할 수 있다는 장점을 가지고 있다. 또한 결과물을 여러 형태로 받아 볼 수 있다는 장점을 가지고 있지만 검색기능을 제공하지 않는다는 것이 큰 단점이다. 따라서 프로그램과 별개로 CSV파일 형태로 저장해서 필터링과 검색 작업을 해야만 한다. 하지만 APFA에 없는 볼륨 정보를 볼 수 있다는 장점이 있다.