소개[편집]

[그림 1] APFA 실행 화면

APFA(Advanced Prefetch File Analyzer)은 Allan S Hay에서 개발한 프리패치 분석 도구로 무료로 사용할 수 있다. 최신 업데이트 일자는 2013년 12월 9일이며, 최신 버전은 2.5.1이다. 본 항에서는 최신버전인 2.5.1을 기반으로 보고서를 작성하였다. APFA은 GUI기반으로 Windows 운영체제에서 사용가능하다. APFA는 프리패치 파일이 저장하고 있는 정보를 보여주며, CSV, PDF, RTF 파일포맷으로 결과를 출력하는 기능을 제공한다. APFA의 실행화면은 [그림 1]과 같다.

사용법[편집]

기본적으로 프리패치 파일의 저장 경로는 %SystemDrive%\Windows\Prefetch이며, 이는 사용자가 임의로 수정할 수 있다. 우측 상단의 [그림 2] 스캔 버튼을 선택하여 프리패치 파일을 파싱하면 중앙 화면에 결과가 출력된다.

[그림 2] APFA 스캔 버튼

APFA의 사용 순서는 [그림 3]과 같다. 중앙에 원하는 결과를 하나 선택하면 우측에 상세 내용이 보여 진다. 출력된 내용 중 한 레코드를 선택하면, 해당 프리패치 파일이 참조하는 파일 목록은 하단에 출력되며 프리패치 파일의 정보는 우측에 출력이 된다. 또한 제일 하단에 버튼을 이용하여 도구의 부가 기능들을 사용할 수 있다.

[그림 3] APFA 사용 순서

도구 기능[편집]

[그림 4] APFA 프리패치 파일 참조 목록

APFA는 프리패치에 저장된 정보들을 CSV, PDF, RTF파일포맷으로 저장할 수 있다. 우측 상단의 Export버튼을 선택하면 프리패치 파일이 존재하는 프로그램과 정보를 CSV파일로 출력 한다. 또한 결과목록 중 한 레코드를 선택하면, [그림 4]처럼 하단에 해당 프로그램이 참조하는 파일들의 목록을 알 수 있다. 또한 이 결과를 좌측 하단에 있는 버튼을 선택하면 PDF, RTF확장자로 결과를 저장할 수 있다.

제한사항[편집]

[그림 5] APFA 한글 깨짐 현상

[그림 6] APFA CSV 출력 화면

APFA를 사용하여 프리패치를 분석할 경우, [그림 5]처럼 한글 깨짐 현상이 발생한다. 하지만, CSV로 결과를 출력할 경우 정상적으로 출력이 된다. 이는 [그림 6]에서 볼 수 있다.

수사 활용 방안[편집]

수사 현장에서 프리패치 파일의 정보를 분석할 경우 APFA는 프리패치의 정보를 빠르고 쉽게 확인할 수 있다는 장점을 가지고 있다. 또한 분석 내용을 여러 포맷으로 저장할 수 있고 포터블 프로그램이라는 장점을 가지고 있다. 하지만 APFA는 검색기능을 제공하지 않아, CSV파일포맷 형태로 저장하여 필터링과 검색 작업을 해야 한다는 단점을 지니고 있다.