Windows Prefetch Parser (pf)
소개[편집]
Windows Prefetch Parser는 TZWorks가 개발한 도구이며, 상용도구이다. 최신 업데이트는 2014년 4월 9일이며, 최신 버전은 0.1.0.4버전이다. 본 항에서는 최신버전인 0.1.0.4버전을 사용하였다. Windows Prefetch Parser는 CLI 기반이며 Windows, Mac, Linux에서 사용 가능하다. Windows XP 이상 버전의 Windows 라이브 시스템에 존재하는 프리패치 파일 또는 직접 수집한 Prefetch 파일을 파싱하여 각 프리패치 파일이 가지는 정보를 csv, bodyfile 형식으로 결과를 출력한다.
사용법[편집]
Command 창을 관리자 권한으로 실행하여 “dir c:\windows\prefetch\*.pf /b /s | pf –pipe –csv –v –pf_path < result.csv” 와 같은 문법으로 사용한다. 관련 Command 옵션은 [표 1]와 같다.
| 옵션 | 추가사항 | 설명 |
|---|---|---|
| -csv | csv 파일포맷으로 결과 출력 | |
| -csvl2t | log2timeline 형식에 맞추어 결과 출력 | |
| -bodyfile | 슬러스킷에서 소개한 'body-file' version3 형식에 맞추어 결과 출력 | |
| -hostname | 결과에 호스트 이름을 포함시킴
-hostname <name to use> | |
| -v | 더 많은 정보를 출력 | |
| -pipe | pipe file을 사용 | |
| -no_whitespace | ** | 공백 없이 csv 파일 포맷으로 출력
-csv 필수 |
| -csv_separator | ** | csv의 구분자 변경
-csv_separator <separator> |
| -dateformat | ** | 날짜 출력 형식 변경
(default : -dateformat "mm/dd/yyyy") |
| -timeformat | ** | 시간 출력 형식 변경
(default : -timeformat "hh:mm:ss.xxx") |
| -pf_path | ** | 결과 파일에 프리패치 파일 경로 추가 |
도구 기능[편집]
Windows Prefetch Parser를 사용하여 프리패치를 분석 시 각 프리패치파일이 저장하고 있는 프로그램의 정보 및 최근 실행 시간 정보를 알 수 있다. 하지만 CSV파일 포맷으로 출력 시 한글이 깨지고 출력 파일이 깨진다는 단점이 존재한다.
제한사항[편집]
Windows Prefetch Parser를 사용하여 프리패치 파일을 분석할 경우 프리패치 파일이 저장하고 있는 모든 내용은 알 수 있다. 하지만 한글이 깨진다는 단점이 존재한다.
수사 활용 방안[편집]
수사 현장에서 프리패치 파일의 정보를 수집 하여 분석할 경우 Windows Prefetch Parser는 다른 프리패치 분석 프로그램 보다 프리패치의 정보를 빠르고 쉽게 확인할 수 있다는 장점을 가지고 있다. 하지만 검색기능이 존재하지 않기 때문에 CSV파일 형태로 저장해서 필터링과 검색 작업을 해야만 한다.
