Prefetch Parser
소개[편집]
Prefetch Parser는 SNAS에서 개발한 프리패치 분석 도구이며, 무료로 배포하고 있다. 최신 업데이트 일자는 2010년 2월 16일이며, 최신 버전은 1.4.1이다. 본 항에서는 최신버전인 1.4.1을 기반으로 보고서를 작성하였다. Prefetch Parser는 GUI 기반이며, Windows운영체제에서 사용 가능하다. Prefetch Parser는 프리패치 파일이 저장하고 있는 정보를 화면에 보여주고, HTML, XML, CSV, TAB 파일포맷으로 결과를 출력할 수 있다. Prefetch Parser의 실행화면은 [그림 1]과 같다. parse_prefetch_info는 CLI 기반이며, Windows 운영체제 환경에서 사용 가능하다. parse_prefetch_info는 프리패치 파일이 저장하고 있는 경로 또는 프리패치 내용이 담긴 Database를 입력 받아 HTML, XML, CSV, TAB 파일포맷으로 결과를 출력한다. parse_prefetch_info의 실행화면은 [그림 2]과 같다.
[그림 1] Prefetch Parser 실행 화면
![[그림 1] Prefetch Parser 실행 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Prefetch_Parser_%EC%8B%A4%ED%96%89_%ED%99%94%EB%A9%B4.png)
[그림 2] parse_prefetch_info 실행 화면
![[그림 2] parse_prefetch_info 실행 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Parse_prefetch_info_%EC%8B%A4%ED%96%89_%ED%99%94%EB%A9%B4.png)
사용법[편집]
Prefectch Parser가 기본적인 정보가 설정되어 있지 않으므로 실행하기 전 [그림 3]와 같이 기본적인 설정을 해주어야 한다. 프리패치 파일의 기본 저장 경로를 설정하고 저장 경로와 윈도우버전, 출력타입을 설정해 준 뒤 Parse Prefetch Files버튼을 선택하면 파싱이 시작된다. 이때 DB 경로는 경로 없이 파일명만 입력할 경우 실행파일과 같은 경로에 파일이 생성된다. 따라서 경로를 입력하고 확장자(.db)도 함께 입력하는 것이 좋다. parse_prefetch_info 의 경우 CLI이므로 기본 인자 값을 설정해주어야 한다. 명령 창에 실행파일이름 [-p 프리패치경로] [-w 윈도우버전] [-d 데이터베이스 경로] [-r 결과파일타입] [-o 경과파일경로] 로 입력하면 결과를 확인할 수 있다.
[그림 3] Prefetch Parser 사용 방법
![[그림 3] Prefetch Parser 사용 방법](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Prefetch_Parser_%EC%82%AC%EC%9A%A9_%EB%B0%A9%EB%B2%95.png)
도구 기능[편집]
Prefetch Parser 또는 parse_prefetch_info를 이용해 프리패치 파일을 분석할 경우 Sqlite DB3, CSV, HTML, TAB, XML 총 5가지 형태로 결과 파일을 생성한다. 출력타입에 따라 생성되는 파일의 개수가 다르고 분류한 내용도 조금씩 다르다. 생성되는 파일과 내용은 [표 1] 와 같다.
| 타입 | 분류 | 내용 |
|---|---|---|
| Sqlite
DB3 |
Corrupt_Prefetch | corrupt된 prefetch 파일 |
| distinct_path | 프리패치 파일에 존재하는 Device, Mount Point, Directories 경로 | |
| errors | error가 있는 prefetch 파일 | |
| Layout_ini | 전체 프리패치 참조 목록과 경로 | |
| prefetch_file_info | 프리패치파일과 실행파일 | |
| prefetch_files_loaded | 각 프리패치파일이 참조하는 파일목록 | |
| CSV | ||
| prefetch_file_detail | 프로그램이 사용하는 자원 목록 | |
| prefetch_file_info | 프리패치파일과 실행파일 | |
| distinct_path | 프리패치 파일에 존재하는 Device, Mount Point, Directories 경로를 저장 | |
| distinct_path_files | 프리패치 파일 중 중요한 Device, Mount Point, Directories 경로를 가지고 있는 프리패치 파일 목록 | |
| layout_ini | 모든 programs/prefetch 파일 목록 | |
| HTML | ||
| layout_ini | 각 프리패치파일이 참조하는 파일목록 | |
| distinct_path | 프리패치 파일에 존재하는 Device, Mount Point, Directories 경로 | |
| index | 프리패치파일과 실행파일 및 실행횟수, 최근사용날짜 | |
| 프리패치파일 참조목록 | 해당 프리패치 파일이 참조파일목록 | |
| TAB | CSV 와 동일 | |
| XML | HTML과 동일 | |
제한사항[편집]
Prefetch Parser을 사용하여 프리패치 파일을 분석할 경우 프리패치 파일이 저장하고 있는 모든 내용은 알 수 있지만, 단순 나열식으로 결과를 출력하기 때문에 사용자가 추가적인 작업을 필요로 한다. 또한 다수의 파일이 생성되므로, 사전에 도구에 대한 이해도가 필요하다.
수사 활용 방안[편집]
Prefetch Parser는 포터블이며 GUI, CLI 형태로 2가지 버전을 제공하는 것이 큰 장점이다. 수사관이 수사 현장에서 프리패치가 저장하고 있는 내용을 파싱하는 것은 문제가 없으나 다양한 파일이 생성되므로 도구에 대한 이해도가 필요로 한다. 그러므로 수사 활용도는 낮다.
