eCDFP (Module-6) (Window Forensics) (Part - 8)

Prefetch File Forensics 

        Window XP ကနေစပြီး Window Boot လုပ်တဲ့အချိန်နဲ့ Application/Process တွေ Loading လုပ်တဲ့အချိန်နည်းအောင် တစ်နည်းအားဖြင့် Window Performance ပိုပြီးကောင်းဖို့အတွက် Prefetch File တွေကို အသုံးပြုလာပါတယ်။ Window Cache Manager က Storage ပေါ်ကနေ Running လုပ်နေတဲ့ Storage ပေါ်မှာရှိနေတဲ့ Application တွေကို ပထမဆုံး Boot လုပ်တဲ့အချိန် 2 မိနစ်နဲ့ Startup Application တွေအတွက် 10 Seconds စောင့်ကြည့်ပါတယ်။ စောင့်ကြည့်ပြီးတဲ့နောက်မှာ Application/Process တွေကိုPrefetch File  (.pf) အဖြစ် C:\Windows\Prefetch Folder ထဲမှာ Write ပြုလုပ်လိုက်ပါတယ်။ Prefetch File  တွေက Memory ပေါ်မှာရှိနေပြီး နောက်တစ်ကြိမ် Window Boot လုပ်တဲ့အခါ၊ Prefetch File (.pf)   ရှိနေတဲ့ Application တွေ Run တဲ့အခါမှာ Loading Process ပိုပြီးမြန်လာမှာဖြစ်ပါတယ်။ 

        Window XP, Vista, Widnow 7 အထိ C:\Windows\Prefetch ထဲမှာ Prefetch File (.pf)   128 ခုရှိပြီး Windows 10/11 မှာတော့ 1024 ခုအထိရှိပါတယ်။ 1024 (.pf) ပြည့်သွားတဲ့အခါမှာ Old Prefetch File တွေကို Operation System ကနေ Delete ပြုလုပ်ပါတယ်။ မရှိမဖြစ်လိုတဲ့ File တွေ မကြာခန အသုံးပြုတဲ့ Prefetch File တွေကိုတော့ Delete မပြုလုပ်ပါ။ Window 7/8 (Hard Disk Drive) တွေမှာ Boot Process မြန်အောင်  Prefetch File  (Ready Boot) ပါဝင်ပေမဲ့ SSD တပ်ထားရင် Boot အတွက် Prefetch File မပါဝင်ပါဘူး။ Window 10/11 လဲအဲဒီအတိုင်းဖြစ်ပါတယ်။ Modified Time က Last Execute Time ဖြစ်ပြီး Created Date က First Execute Time ဖြစ်ပါတယ်။

Forensics Myanmar
C:\Windows\Prefetch Folder



    Window Server များနဲ့ အချို့သော SSD Storage နဲ့ Window တွေမှာ Prefetch File တွေက Disable ဖြစ်နေတတ်ပါတယ်။ အောက်မှာပြထားတဲ့ Registry Setting မှာ Prefetch File Enable/Disable ဖြစ်မဖြစ်ကိုကြည့်နိုင်ပါတယ်။ 

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameter


  • 0 = Disabled 
  • 1 = Application launch prefetching enabled 
  • 2 = Boot prefetching enabled
  • 3 = Application launch and boot enabled

    SSD မဟုတ်တဲ့ Window တွေရဲ့ C:\Windows\Prefetch Folder ထဲမှာ "Ag*.db" Superfetch File တွေပါရှိပါတယ်။ Hybernation အတွက် Application တွေကို Ram ပေါ်ကိုကြိုပြီး တင်ထားဖို့ဖြစ်ပါတယ်။ SSD Window တွေမှာ Superfetch တွေမပါရှိပါ။ Superfetch Tree (Or) CrowdResponse နဲ့ Analysis လုပ်နိုင်ပါတယ်။ 


Superfetch


Prefetch File (.pf) Analysis 


Prefetch File (.pf) Analysis ကနေရနိုင်တဲ့ Information တွေကတော့ အောက်ပါအတိုင်း ဖြစ်ပါတယ်။ 
  • File Name: The executable’s name.
  • Timestamps: Information on when the executable was run (First & Last Run/ 8 Times Stamps)
  • Run Counts: the number of times the executable has been launched.
  • File, Directory and Volume Paths: Details about files and directories accessed by the executable.
  • DLL File: Lists of DLL File Used by Program.

        Prefetch File (.pf)  ကို Analysis လုပ်ဖို့အတွက် FTK Imager နဲ့ Export ထုတ်ပါတယ်။ အသုံးပြုတဲ့ Tools တွေကတော့ PECmd နဲ့ win_prefetch_view တို့ဖြစ်ပါတယ်။ Prefetch Folder ထဲမှာ 1024 File အထိ ပြည့်သွားရင် Application တစ်ခုက အချိန်ကာလတစ်ခုအထိအသုံးမပြုဘူးဆိုရင် (အသုံးမပြုတဲ့ Application) ကို Prefetch Folder ကနေ Window Operation System ကနေ Delete လုပ်နိုင်ပါတယ်။ အဲဒီ Application ကို အသုံမပြုတာကြာပြီးနောက်ပိုင်းမှ ပြန်သုံးမှာသာ Prefetch Folder ထဲမှာ New Prefetch File (.pf)  အဖြစ်ပြန်ရောက်မှာဖြစ်ပါတယ်။ အဲဒီအချိန်မှာ Prefetch File (.pf) က အခုမှစပြီး အသုံးပြုတဲ့ အချိန်ဖြစ်သွားမှာဖြစ်ပါတယ်။
        Prefetch File (.pf) က Delete မဖြစ်ဘူးဆိုရင်တောင်မှ First Execution Time က First Execute လုပ်တာလို့မဆိုနိုင်ပါဘူး ဘာလိုလဲဆိုရင် Prefetch Folder ထဲမှာ Window Operation System ကနေ (.pf) File ကိုလိုအပ်လို့ Created လုပ်တာဖြစ်နိုင်ပါတယ်။ Application ကို Delete/ Uninstall လုပ်လိုက်မယ်ဆိုရင်လဲ Prefetch Folder ထဲမှာ အဲဒီ Application နဲ့သက်ဆိုင်တဲ့ (.pf) ကရှိနေနိုင်ပါတယ်။ Last Run Time တွေက Application Loading နဲ့ (.pf) ပေါ်မှာ Time Change ပြောင်းလဲတဲ့ အချိန်အရ  Last Modified Time ထက် 10 Seconds ပိုပြီးစောပါတယ်။
        Prefetch Folder ထဲမှာ (.pf) File တွေက (2) ခုရှိနိုင်ပါတယ်။ Example C:\User\DFM\svchost.exe နဲ့ C:\Windows\System32/ svchost.exe အဲလိုဆိုရင် Path အရ တစ်ခုက C:\Windows\System32 ဖြစ်ပြီး တစ်ခုက C:\User\DFM ဖြစ်ပါတယ်။ Threat အရ Suspicious ဖြစ်မယ်ဆိုရင် C:\User\DFM\svchost.exe ကိုပိုပြီး Suspicious ဖြစ်ရမှာဖြစ်ပါတယ်။  


Tools For Analysis EZ Tools - PEcmd   &   Win Prefetch View



Export Prefetch File With FTK Imager 

Forensics Myanmar

Analysis With Win Perfetch View 

Analysis With Win Perfetch View 

Forensics Myanmar

Analysis With PEcmd 

Forensics Myanmar

Analysis With PEcmd 

Comments

Popular posts from this blog

NTFS Index Attributes

B-Trees (NTFS)

eCDFP (Module-6) (Window Forensics) (Part - 1 )