eCDFP (Module-6) (Window Forensics) (Part - 8)

Prefetch File Forensics 

        Window XP ကနေစပြီး Window Boot လုပ်တဲ့အချိန်နဲ့ Application/Process တွေ Loading လုပ်တဲ့အချိန်နည်းအောင် တစ်နည်းအားဖြင့် Window Performance ပိုပြီးကောင်းဖို့အတွက် Prefetch File တွေကို အသုံးပြုလာပါတယ်။ Window Cache Manager က Storage ပေါ်ကနေ Running လုပ်နေတဲ့ Storage ပေါ်မှာရှိနေတဲ့ Application တွေကို ပထမဆုံး Boot လုပ်တဲ့အချိန် 2 မိနစ်နဲ့ Startup Application တွေအတွက် 10 Seconds စောင့်ကြည့်ပါတယ်။ စောင့်ကြည့်ပြီးတဲ့နောက်မှာ Application/Process တွေကိုPrefetch File  (.pf) အဖြစ် C:\Windows\Prefetch Folder ထဲမှာ Write ပြုလုပ်လိုက်ပါတယ်။ Prefetch File  တွေက Memory ပေါ်မှာရှိနေပြီး နောက်တစ်ကြိမ် Window Boot လုပ်တဲ့အခါ၊ Prefetch File (.pf)   ရှိနေတဲ့ Application တွေ Run တဲ့အခါမှာ Loading Process ပိုပြီးမြန်လာမှာဖြစ်ပါတယ်။ 

        Window XP, Vista, Widnow 7 အထိ C:\Windows\Prefetch ထဲမှာ Prefetch File (.pf)   128 ခုရှိပြီး Windows 10/11 မှာတော့ 1024 ခုအထိရှိပါတယ်။ 1024 (.pf) ပြည့်သွားတဲ့အခါမှာ Old Prefetch File တွေကို Operation System ကနေ Delete ပြုလုပ်ပါတယ်။ မရှိမဖြစ်လိုတဲ့ File တွေ မကြာခန အသုံးပြုတဲ့ Prefetch File တွေကိုတော့ Delete မပြုလုပ်ပါ။ Window 7/8 (Hard Disk Drive) တွေမှာ Boot Process မြန်အောင်  Prefetch File  (Ready Boot) ပါဝင်ပေမဲ့ SSD တပ်ထားရင် Boot အတွက် Prefetch File မပါဝင်ပါဘူး။ Window 10/11 လဲအဲဒီအတိုင်းဖြစ်ပါတယ်။ Modified Time က Last Execute Time ဖြစ်ပြီး Created Date က First Execute Time ဖြစ်ပါတယ်။

Forensics Myanmar
C:\Windows\Prefetch Folder



    Window Server များနဲ့ အချို့သော SSD Storage နဲ့ Window တွေမှာ Prefetch File တွေက Disable ဖြစ်နေတတ်ပါတယ်။ အောက်မှာပြထားတဲ့ Registry Setting မှာ Prefetch File Enable/Disable ဖြစ်မဖြစ်ကိုကြည့်နိုင်ပါတယ်။ 

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameter


  • 0 = Disabled 
  • 1 = Application launch prefetching enabled 
  • 2 = Boot prefetching enabled
  • 3 = Application launch and boot enabled

    SSD မဟုတ်တဲ့ Window တွေရဲ့ C:\Windows\Prefetch Folder ထဲမှာ "Ag*.db" Superfetch File တွေပါရှိပါတယ်။ Hybernation အတွက် Application တွေကို Ram ပေါ်ကိုကြိုပြီး တင်ထားဖို့ဖြစ်ပါတယ်။ SSD Window တွေမှာ Superfetch တွေမပါရှိပါ။ Superfetch Tree (Or) CrowdResponse နဲ့ Analysis လုပ်နိုင်ပါတယ်။ 


Superfetch


Prefetch File (.pf) Analysis 


Prefetch File (.pf) Analysis ကနေရနိုင်တဲ့ Information တွေကတော့ အောက်ပါအတိုင်း ဖြစ်ပါတယ်။ 
  • File Name: The executable’s name.
  • Timestamps: Information on when the executable was run (First & Last Run/ 8 Times Stamps)
  • Run Counts: the number of times the executable has been launched.
  • File, Directory and Volume Paths: Details about files and directories accessed by the executable.
  • DLL File: Lists of DLL File Used by Program.

        Prefetch File (.pf)  ကို Analysis လုပ်ဖို့အတွက် FTK Imager နဲ့ Export ထုတ်ပါတယ်။ အသုံးပြုတဲ့ Tools တွေကတော့ PECmd နဲ့ win_prefetch_view တို့ဖြစ်ပါတယ်။ Prefetch Folder ထဲမှာ 1024 File အထိ ပြည့်သွားရင် Application တစ်ခုက အချိန်ကာလတစ်ခုအထိအသုံးမပြုဘူးဆိုရင် (အသုံးမပြုတဲ့ Application) ကို Prefetch Folder ကနေ Window Operation System ကနေ Delete လုပ်နိုင်ပါတယ်။ အဲဒီ Application ကို အသုံမပြုတာကြာပြီးနောက်ပိုင်းမှ ပြန်သုံးမှာသာ Prefetch Folder ထဲမှာ New Prefetch File (.pf)  အဖြစ်ပြန်ရောက်မှာဖြစ်ပါတယ်။ အဲဒီအချိန်မှာ Prefetch File (.pf) က အခုမှစပြီး အသုံးပြုတဲ့ အချိန်ဖြစ်သွားမှာဖြစ်ပါတယ်။
        Prefetch File (.pf) က Delete မဖြစ်ဘူးဆိုရင်တောင်မှ First Execution Time က First Execute လုပ်တာလို့မဆိုနိုင်ပါဘူး ဘာလိုလဲဆိုရင် Prefetch Folder ထဲမှာ Window Operation System ကနေ (.pf) File ကိုလိုအပ်လို့ Created လုပ်တာဖြစ်နိုင်ပါတယ်။ Application ကို Delete/ Uninstall လုပ်လိုက်မယ်ဆိုရင်လဲ Prefetch Folder ထဲမှာ အဲဒီ Application နဲ့သက်ဆိုင်တဲ့ (.pf) ကရှိနေနိုင်ပါတယ်။ Last Run Time တွေက Application Loading နဲ့ (.pf) ပေါ်မှာ Time Change ပြောင်းလဲတဲ့ အချိန်အရ  Last Modified Time ထက် 10 Seconds ပိုပြီးစောပါတယ်။
        Prefetch Folder ထဲမှာ (.pf) File တွေက (2) ခုရှိနိုင်ပါတယ်။ Example C:\User\DFM\svchost.exe နဲ့ C:\Windows\System32/ svchost.exe အဲလိုဆိုရင် Path အရ တစ်ခုက C:\Windows\System32 ဖြစ်ပြီး တစ်ခုက C:\User\DFM ဖြစ်ပါတယ်။ Threat အရ Suspicious ဖြစ်မယ်ဆိုရင် C:\User\DFM\svchost.exe ကိုပိုပြီး Suspicious ဖြစ်ရမှာဖြစ်ပါတယ်။  


Tools For Analysis EZ Tools - PEcmd   &   Win Prefetch View



Export Prefetch File With FTK Imager 

Forensics Myanmar

Analysis With Win Perfetch View 

Analysis With Win Perfetch View 

Forensics Myanmar

Analysis With PEcmd 

Forensics Myanmar

Analysis With PEcmd 

Comments

Post a Comment

Popular posts from this blog

B-Trees (NTFS)

Image
  B-Trees An NTFS index sort attributes into a tree, specifically a B-tree. A tree is a group of data structures called nodes that are linked together such that there is a head node and its branches out to the other nodes. Consider Figure 11.13(A), where we see node A on top and it links to nodes B and C. Node B links to nodes D and E. A parent node is one that links to other nodes, and a child node is one that is linked to. For example, A is a parent node to B and C, which are children of A. A leaf node is one that has no links from it. Nodes C, D, and E are leaves. The example shown is a binary tree because there are a maximum of two children per node. Figure 11.13. Examples of A) a tree with 5 nodes and B) the same tree that is sorted by the node values FIG- 11.3 Trees are useful because they can be used to easily sort and find data. Figure 11.13(B) shows the same tree as we saw on the left side, but now with values that are assigned to each node. If we are trying to look up a valu
Read more

NTFS Index Attributes

Image
  NTFS Index Attributes Now that we have described the general concept of B-trees, we need to describe how they are implemented in NTFS to create indexes. Each entry in the tree uses a data structure called an index entry to store the values in each node. There are many types of index entries, but they all have the same standard header fields, which are given in Chapter 13. For example, a directory index entry contains a few header values and a $FILE_NAME attribute. The index entries are organized into nodes of the tree and stored in a list. An empty entry is used to signal the end of the list. Figure 11.18 shows an example of a node in a directory index with four $FILE_NAME index entries. Figure 11.18. A node in an NTFS directory index tree with four index entries. Figure 11.18 The index nodes can be stored in two types of MFT entry attributes. The $INDEX_ROOT attribute is always resident and can store only one node that contains a small number of index entries. The $INDEX_ROOT attrib
Read more

eCDFP (Module-6) (Window Forensics) (Part - 1 )

Image
လက်ရှိအချိန်မှာ PC/Laptop သုံးစွဲတဲ့အထဲမှာ Window အသုံးပြုသူက ကမ္ဘာမှာ အများဆုံးဖြစ်ပါတယ်။ Operation System အနေနဲ့ကြည့်မယ်ဆိုရင် ဒုတိယအများဆုံးဖြစ်ပါတယ်၊ ပထမအများဆုံးကတော့ Android ဖြစ်ပါတယ်။ Window 1.0 ကနေ အခုနောက်ဆုံးထွက်တဲ့ Window 11 အထိမှာ လက်ရှိလူတွေ အများဆုံးအသုံးပြုတာကတော့ Window 10/ Window 11 ဖြစ်ပါတယ်။ Forensics Analysis လုပ်မယ်ဆိုရင် Window ကနေရနိုင်တဲ့ Artifact (2) မျိုးရှိပါတယ်။ (1) System Artifacts  (2) User Artifacts  System Artifacts  ကတော့ Window Operation System   ကနေရနိုင်တဲ့ Artifacts တွေဖြစ်ပါတယ်။  System Artifacts Example  Registry Artifacts Event Logs File System Artifacts (Master File Table) Prefetch Files Volume Shadow Copies  User Artifacts ကတော့ User အသုံးပြုတဲ့ Computer ပေါ်မှာ User ကနေအသုံးပြုတဲ့ Activity တွေဖြစ်ပါတယ်။ တစ်ကယ်တန်း Forensics Analysis လုပ်မယ်ဆိုရင် System Artifacts ကိုရော User Artifacts ကိုရော Analysis ပြုလုပ်ပါတယ်။  User Artifacts Example  UserAssist  LNK Files Browser Artifacts  Recycle Bin  Recent File  Jump Lists  .LNK File (Shortcut) An
Read more