Что такое файлы предварительной выборки Windows

Обновлено: 21.11.2024

Для такого эксперта по компьютерной криминалистике, как Паула Янушкевич, файлы Windows Prefetch представляют собой виртуальную сокровищницу, которая может раскрыть не только то, что произошло в операционной системе, но и когда это произошло. В этом кратком руководстве Паула рассказывает об инструменте и методе, необходимых для разблокировки содержимого этих цифровых артефактов.

Файлы предварительной выборки представляют собой цифровой снимок событий в вашей операционной системе Windows (ОС). Поскольку они создаются при первом запуске исполняемой программы из определенного места, специалисты-криминалисты могут использовать эти файлы, чтобы определить, что и когда выполнялось.

В случае кибератаки временная шкала доказательств, захваченных в файлах Prefetch, может оказаться чрезвычайно полезной для определения основной причины. Однако раскрытие их секретов зависит от знания правильного метода и наличия правильных инструментов.

В этом примере Паула использует CQPrefetchParser.exe для анализа предварительной выборки, чтобы выявить историю выполнения исполняемых программ в ОС. Этот инструмент, созданный экспертами CQURE, может использоваться для определения того, какие библиотеки DLL были загружены, а также сколько раз запускался конкретный исполняемый файл. Загрузите бесплатный инструмент CQURE, нажав на баннер ниже.

Используя предварительную выборку, вы можете выяснить, какие типы исполняемых файлов были запущены в операционной системе. Инструмент CQPrefetch Parser имеет различные параметры. Он принимает в качестве параметра файл предварительной выборки для анализа. Мы также можем указать только каталог, содержащий файлы предварительной выборки, или каталог /out, в котором мы можем распаковать файл PF.

CQPreferchParser показывает все пути, которые были связаны с этим конкретным файлом предварительной выборки, а также модули, различные типы библиотек DLL, которые были загружены при запуске этого конкретного исполняемого файла. Кроме того, вы можете увидеть часть истории выполнения, например, сколько раз выполнялся notepad.exe и когда я последний раз открывал его.

CQPrefetchParser – отличный инструмент для поддержки нас в анализе предварительной выборки при выполнении криминалистической экспертизы, но его можно удалить, если злоумышленник имеет права администратора на этом компьютере. Поэтому помните, что вам, возможно, придется использовать некоторые инструменты аудита, чтобы в конечном итоге восстановить файлы предварительной выборки, чтобы проанализировать их в будущем.

Присоединяйтесь к нам в прямом эфире с 18:00 по центральноевропейскому времени 23 ноября 2021 года, чтобы принять участие в нашем крупнейшем ежегодном вебинаре по кибербезопасности. Сами Лайхо, Майкл Графнеттер и Паула Янушкевич.

Воспользуйтесь этим шансом, чтобы развить свои навыки в области безопасности Azure AD, цифровой криминалистики, атак с использованием теневых учетных данных и рабочих станций с привилегированным доступом.

Файлы Prefetch – это отличные артефакты для криминалистов, пытающихся проанализировать приложения, запущенные в системе. Windows создает файл предварительной выборки, когда приложение запускается из определенного места в первый раз. Это используется для ускорения загрузки приложений. Для следователей эти файлы содержат некоторые ценные данные об истории приложений пользователя на компьютере.

Почему файлы предварительной выборки важны для вашего расследования цифровой криминалистики?

Доказательства выполнения программы могут быть ценным ресурсом для криминалистов. Они могут доказать, что подозреваемый запускал такую ​​программу, как CCleaner, чтобы скрыть любые потенциальные правонарушения. Если с тех пор программа была удалена, в системе все еще может существовать файл предварительной выборки, свидетельствующий о выполнении. Другим ценным применением файлов предварительной выборки является расследование вредоносного ПО, которое может помочь экспертам определить, когда была запущена вредоносная программа. Сочетая это с некоторым базовым анализом временной шкалы, следователи могут выявить любые дополнительные вредоносные файлы, которые были загружены или созданы в системе, и помочь определить основную причину инцидента.

Ключевые артефакты, которые необходимо обнаружить при исследовании файлов предварительной выборки

Все файлы предварительной выборки имеют имена в общем формате, в котором указывается имя приложения, затем восьмизначный хэш местоположения, в котором было запущено приложение, за которым следует расширение .PF. Например, файл предварительной выборки для calc.exe будет отображаться как CALC.EXE-0FE8F3A9.pf, где 0FE8F3A9 — это хэш пути, по которому был выполнен файл. Все эти файлы хранятся в папке ROOT/Windows/Prefetch.

Вычисление исходного пути приложения по хэшу, предоставленному в файле предварительной выборки, относительно просто, но может занять много времени. В зависимости от версии Windows, из которой был взят файл, используется другая функция хеширования. Одна функция используется для XP/2003, другая — для Vista, а третья — для 2008/7/8/2012. И Forensics Wiki, и блог Hexacorn подробно рассказывают о файлах предварительной выборки и предоставляют следователям сценарии для расчета исходного пути.

Местоположение исполняемого файла может быть столь же важным, как и любые временные метки.Большинство опытных расследователей вредоносных программ могут распознать дополнительные проблемы, связанные с выполнением известного файла из временной папки по сравнению с более законным расположением, таким как папка Windowssystem32.

Хотя информация, содержащаяся в имени файла, может быть весьма ценной, содержимое файла предварительной выборки также содержит большое количество информации. Ниже приведен частичный снимок экрана необработанных данных, включенных в файл предварительной выборки для calc.exe:

Анализ файлов предварительной выборки относительно прост. Помимо имени и пути, упомянутых ранее, файлы предварительной выборки содержат сведения о количестве запусков приложения, сведения о томе, а также информацию о метках времени, в которых указывается, когда приложение было запущено в первый и последний раз. Для Windows 8 и более поздних версий файлы предварительной выборки теперь содержат до восьми меток времени последнего запуска приложения, что дает следователям несколько дополнительных меток времени, помогающих построить хронологию событий в системе.

Упрощение анализа файлов предварительной выборки с помощью Internet Evidence Finder (IEF)

На приведенном ниже снимке экрана показан результат поиска артефакта предварительной выборки (тот же файл calc.exe, на который ссылается и который показан выше). Тем не менее, IEF собрал и упорядочил временные метки и дополнительные сведения, содержащиеся в файле предварительной выборки, а также сообщил о них исследователю в удобном для чтения формате:

  1. Хэш исходного пути к приложению.
  2. Название приложения
  3. Количество запусков приложения
  4. Временные метки последних 8 запусков приложения (Windows 8)

Добавляя эти временные метки в наш анализ предварительной выборки, следователи могут использовать такие инструменты, как IEF Timeline или log2timeline, для отображения приложений, которые подозреваемый запускал в системе в течение заданного времени, или для выявления любых вредоносных исполняемых файлов, которые могли запускаться в течение заданного времени. инцидент.

Файлы предварительной выборки — это лишь один из многих артефактов ОС Windows, которые помогают следователям понять, что пользователь делал в системе в определенное время. Все артефакты ОС Windows следует исследовать вместе, чтобы раскрыть общую картину инцидента или расследования.

Джейми МакКуэйд
Консультант по судебной экспертизе, Magnet Forensics

В этой статье мы собираемся изучить важный артефакт Windows, то есть файлы предварительной выборки. Каждый раз, когда вы делаете что-либо в своей системе Windows, создается файл. Эти файлы называются файлами Prefetch. Из этой статьи мы узнаем, насколько они важны и зачем они нам нужны.

Содержание

  • Введение
  • Криминалистический анализ файлов предварительной выборки
    • Вид WinPrefetch
    • Криминалистическая экспертиза ОС
    • PECmd
    • Имидж-сканер FTK

    Введение

    Файл Prefetch – это файл, который создается при открытии приложения в системе Windows. Windows делает запись предварительной выборки, когда приложение запускается из определенной области в первый раз.

    Файлы предварительной выборки появились в Windows XP. Файлы Prefetch предназначены для ускорения процесса загрузки Windows и запуска приложений. В Windows XP, Vista и 7 количество файлов предварительной выборки ограничено 128, тогда как в Windows 8 и более поздних версиях — до 1024.

    Доказательство выполнения программы может быть важным преимуществом для криминалистов, поскольку они могут доказать, что определенный исполняемый файл был запущен в системе, чтобы замести следы. Прежде чем приступить к криминалистическому анализу записи предварительной выборки в качестве судебного эксперта, вы должны проверить, включен ли процесс предварительной выборки.

    Чтобы проверить статус предварительной выборки, откройте следующую папку в редакторе реестра:

    По умолчанию установлено значение 3, как показано на изображении выше. Следующие значения могут быть изменены в соответствии с вашими потребностями в предварительной выборке. Все параметры, которые Windows предоставляет нам для настройки предварительной выборки, объясняются ниже:

    • 0: предварительная загрузка отключена
    • 1: предварительная выборка приложений включена
    • 2: предварительная выборка при загрузке включена
    • 3: Приложение и загрузка включены

    Метаданные, которые можно найти в одном файле предварительной выборки, следующие:

    • Имя исполняемого файла
    • Восьмисимвольный хэш пути к исполняемому файлу.
    • Путь к исполняемому файлу
    • Отметка времени создания, изменения и доступа к исполняемому файлу
    • Количество запусков (количество раз, когда приложение выполнялось)
    • Время последнего запуска
    • Временная метка последних 8 выполнений (1 последнее время выполнения и остальные 7 последних выполнений)
    • Информация об объеме
    • Файл, на который ссылается исполняемый файл
    • Каталоги, на которые ссылается исполняемый файл

    Файлы предварительной выборки сохраняются в папке %SystemRoot%\Prefetch (C:\Windows\Prefetch).

    Вы можете открыть расположение файлов предварительной выборки, которое можно напрямую найти по запросу «предварительная выборка» в команде запуска.

    Его также можно открыть как каталог из командной строки, что является хорошей новостью для всех любителей командной строки.

    Криминалистический анализ файлов предварительной выборки

    Вид WinPrefetch

    WinPrefetch View — это инструмент для чтения и проверки файлов предварительной выборки, хранящихся в вашей системе. Инструмент был разработан Nirsoft. Эта утилита работает с любой версией Windows, начиная с Windows XP и заканчивая Windows 10.

    Вы можете скачать этот инструмент отсюда .

    Вы можете легко открыть сведения о конкретном файле предварительной выборки, просто нажав на него. Здесь я открыл HFS.EXE-D3CAF0BF.pf для подробного просмотра. Он показывает такие сведения, как время создания, время изменения, размер файла, путь к счетчику запусков процесса, время последнего запуска, отсутствующий процесс.

    Экспертиза ОС

    OS Forensic – это инструмент цифровой криминалистики, полный пакет для криминалистического расследования с помощью программного обеспечения Passmark. Он используется для извлечения, анализа данных, поиска файлов, восстановления удаленных паролей, восстановления удаленных доказательств и многого другого.

    Загрузите инструмент отсюда .

    Командная строка Prefetch Explorer (PECmd)

    PECmd — это инструмент командной строки, разработанный Эриком Циммерманом и используемый для массового анализа файлов предварительной выборки. Этот инструмент также может экспортировать артефакты предварительной выборки в файлы .csv и .css.

    Вы можете скачать этот инструмент отсюда .

    Для начала запустите исполняемый файл. Давайте проанализируем файл предварительной выборки с помощью этого инструмента. Мы будем использовать параметр –d для анализа всего файла предварительной выборки.

    На изображении ниже вы можете увидеть файл предварительной загрузки для firefox.exe. Инструмент проанализировал все метаданные, как это было объяснено во введении.

    Аналогично на следующем изображении вы можете увидеть файл предварительной выборки для HFS.exe. Такие файлы будут создаваться для каждого приложения, к которому вы обращаетесь.

    Имидж-сканер FTK

    Как судебный следователь, вы всегда можете получить доступ к файлам предварительной выборки, чтобы понять переданное вам дело. Потому что с помощью этих файлов можно определить, что часто использовалось в исследуемой системе. Это можно легко сделать с помощью FTK Imager. Имидж-сканер FTK позволяет просматривать и анализировать файл предварительной выборки, присутствующий на диске. Чтобы получить доступ к файлу предварительной выборки через FTK, просто откройте указанный инструмент и найдите папку Prefetch на левой панели, как показано на изображении ниже:

    Все это относится к файлам предварительной выборки. Теперь, когда мы правильно понимаем эти файлы, мы можем настроить их, получить к ним доступ и использовать их по своему усмотрению. Самая важная вещь, которую нужно знать о файлах предварительной выборки, заключается в том, что это благо, когда дело доходит до повторного отслеживания вредоносного ПО, поскольку любой файл .exe, который был запущен в системе, будет зарегистрирован в файлах предварительной выборки. Таким образом, если вредоносный файл выполняется; вы можете отследить это через это.

    Автор: Вишва Вагела увлекается цифровой криминалистикой и пишет технические материалы. Вы можете связаться с ней здесь

    вы можете не видеть предварительную выборку, но и предварительная выборка, и супервыборка активно работают каждую секунду за вашим компьютером, чтобы сделать ваш компьютер быстрее.

    большинство людей думают, что предварительная выборка и супервыборка — это одно и то же, но это не так, хотя обе они выполняют одну и ту же работу, т. е. замедляют время загрузки приложения и время загрузки,

    superfetch немного более совершенен по сравнению с prefetch. Предварительная выборка — это не что иное, как функция операционной системы Windows 10, такая же, как и супервыборка.

    предварительная выборка не была доступна в более ранних версиях Windows, она была представлена ​​в Windows XP и до сих пор используется в Windows 10.

    прежде чем я объясню упреждающую выборку, сначала вам нужно понять упреждающую выборку.

    Оглавление

    Что означает предварительная выборка?

    Предварительная загрузка — это загрузка ресурса до того, как он потребуется, чтобы сократить время ожидания этого ресурса. Примеры включают предварительную выборку инструкций, когда ЦП кэширует данные и блоки инструкций до их выполнения, или веб-браузер, запрашивающий копии часто используемых веб-страниц. Функции предварительной выборки часто используют кеш.

    предварительная выборка – это термин из компьютерной науки. Это метод, который позволяет компьютеру автоматически извлекать необходимые ресурсы, необходимые для отображения контента, к которому пользователь может получить доступ в ближайшем будущем. поэтому ресурсы могут быть доступны за меньшее время. эти ресурсы выбираются на основе повседневного поведения пользователя.

    Что такое предварительная выборка Windows?

    Папка предварительной выборки Windows

    prefetch кэширует файлы ваших приложений, чтобы вы могли быстрее получить к ним доступ.упреждающая выборка помогает сократить время загрузки приложения.

    давайте разберемся, что такое предварительная выборка, на небольшом примере.

    вы читаете что-то на веб-сайте на своем компьютере, и вдруг ваш компьютер выключается, и в следующий раз, когда вы открываете компьютер, вы понимаете, что все ваши вкладки и веб-страницы по-прежнему открыты, как и раньше.

    Вы когда-нибудь задумывались, почему?

    это потому, что ваш браузер создал кеш-файл со всеми вашими вкладками и веб-страницами. чтобы вы могли получить к нему доступ позже,

    prefetch работает именно так. prefetch создает кеш-файл всего вашего программного обеспечения, загрузочных файлов и прочего.

    Предварительная выборка помогает открывать наиболее часто используемые приложения, сокращая время загрузки определенного ресурса приложения. prefetch — важный инструмент для экономии времени.

    как работает предварительная выборка Windows?

    он ​​создает кеш-файл всех ваших приложений, которые вы использовали ранее, поэтому он может открывать эти приложения гораздо быстрее.

    Предварительная выборка была первой в версии для Windows XP. и теперь он все еще используется в Windows 10.

    Как отобразить, какие программы загружаются в режиме предварительной выборки?

    Чтобы проверить, какие программы загружены в предварительную выборку:
    просто откройте проводник, перейдите на диск C, затем перейдите в папку Windows, там вы увидите, что предварительная выборка нажала Enter, и там вы можете увидеть все те программы, которые загружены в предварительную выборку. .

    или просто перейдите по этому пути C:\Windows\Prefetch

    просто нажмите windows+R

    затем введите prefetch и нажмите Enter.

    Безопасно ли удалять файлы предварительной выборки?

    хотя упреждающая загрузка помогает замедлить загрузку приложения, но если по какой-то причине вы хотите удалить файлы упреждающей выборки, это совершенно нормально

    Многие думают, что удаление папок предварительной выборки ускорит работу вашего компьютера, но это не так. Вместо этого на самом деле это увеличит время загрузки того конкретного приложения, которое вы решили открыть, что замедлит работу вашего компьютера. поэтому нет необходимости отключать предварительную выборку,

    даже если вы удалите папку предварительной выборки с целью очистки места, она будет воссоздана предварительной выборкой, поэтому в этом нет необходимости.

    когда вы удалите папку prefetch, это замедлит загрузку и загрузку приложений.

    помимо этого,

    Парень по имени mohdrafi на форуме Microsoft очень просто объяснил предварительную выборку
    посмотрите:

    Каждый раз, когда вы включаете компьютер, Windows отслеживает, как он запускается и какие программы вы обычно открываете. Windows сохраняет эту информацию в виде набора небольших файлов в папке предварительной выборки. В следующий раз, когда вы включите компьютер, Windows обратится к этим файлам, чтобы ускорить процесс запуска.

    Папка prefetch — это подпапка системной папки Windows. Папка предварительной выборки является самообслуживаемой, и ее не нужно удалять или очищать ее содержимое. Если вы очистите папку, Windows и ваши программы будут открываться дольше при следующем включении компьютера.

    Опасные мифы: удаление информации в папке Prefetch

    Часто утверждает, что удаление папки Prefetch на самом деле приводит к сокращению времени загрузки и увеличению свободной памяти. Причины этого могут быть разными: например, некоторые эксперты утверждают, что Windows автоматически загружает информацию Prefetch для всех программ, которые вы когда-либо запускали на своем компьютере, в память, заполняя вашу оперативную память неиспользуемыми данными (это неправда). Эти эксперты рекомендуют регулярно удаляйте содержимое «Windows\Prefetch», чтобы освободить память от неиспользуемых данных. Ой! Две причины:

    1. Если вы не запустите программу, Windows не получит доступ к информации Prefetch.
    2. Windows поддерживает не более 128 записей в папке Prefetch. Он очищается автоматически.

    Итак, если вы на самом деле удалите папку Prefetch, вот что вам действительно следует ожидать: Windows и приложениям потребуется значительно больше времени для запуска, так как данные Prefetch должны быть собраны. опять таки. Вся производительность вашей системы снизится.

    (источник: форум Microsoft)

    Если вам понравилась эта запись, скорее всего, она вам тоже понравится, проверьте это:

    Читайте также: