Windows Prefetch Parser (pf)

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

Windows Prefetch Parser는 TZWorks가 개발한 도구이며, 상용도구이다. 최신 업데이트는 2014년 4월 9일이며, 최신 버전은 0.1.0.4버전이다. 본 항에서는 최신버전인 0.1.0.4버전을 사용하였다. Windows Prefetch Parser는 CLI 기반이며 Windows, Mac, Linux에서 사용 가능하다. Windows XP 이상 버전의 Windows 라이브 시스템에 존재하는 프리패치 파일 또는 직접 수집한 Prefetch 파일을 파싱하여 각 프리패치 파일이 가지는 정보를 csv, bodyfile 형식으로 결과를 출력한다.

사용법

Command 창을 관리자 권한으로 실행하여 “dir c:\windows\prefetch\*.pf /b /s | pf –pipe –csv –v –pf_path < result.csv” 와 같은 문법으로 사용한다. 관련 Command 옵션은 [표 1]와 같다.

[표 1] Windows Prefetch Parser 명령어 옵션
옵션 추가사항 설명
-csv csv 파일포맷으로 결과 출력
-csvl2t log2timeline 형식에 맞추어 결과 출력
-bodyfile 슬러스킷에서 소개한 'body-file' version3 형식에 맞추어 결과 출력
-hostname 결과에 호스트 이름을 포함시킴

-hostname <name to use>

-v 더 많은 정보를 출력
-pipe pipe file을 사용
-no_whitespace ** 공백 없이 csv 파일 포맷으로 출력

-csv 필수

-csv_separator ** csv의 구분자 변경

-csv_separator <separator>

-dateformat ** 날짜 출력 형식 변경

(default : -dateformat "mm/dd/yyyy")

-timeformat ** 시간 출력 형식 변경

(default : -timeformat "hh:mm:ss.xxx")

-pf_path ** 결과 파일에 프리패치 파일 경로 추가

도구 기능

Windows Prefetch Parser를 사용하여 프리패치를 분석 시 각 프리패치파일이 저장하고 있는 프로그램의 정보 및 최근 실행 시간 정보를 알 수 있다. 하지만 CSV파일 포맷으로 출력 시 한글이 깨지고 출력 파일이 깨진다는 단점이 존재한다.

제한사항

Windows Prefetch Parser를 사용하여 프리패치 파일을 분석할 경우 프리패치 파일이 저장하고 있는 모든 내용은 알 수 있다. 하지만 한글이 깨진다는 단점이 존재한다.

수사 활용 방안

수사 현장에서 프리패치 파일의 정보를 수집 하여 분석할 경우 Windows Prefetch Parser는 다른 프리패치 분석 프로그램 보다 프리패치의 정보를 빠르고 쉽게 확인할 수 있다는 장점을 가지고 있다. 하지만 검색기능이 존재하지 않기 때문에 CSV파일 형태로 저장해서 필터링과 검색 작업을 해야만 한다.