Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:forenzika_windows_prefatch_datoteka [2021/01/16 16:15]
izuglic [Svrha Prefetch procesa i datoteka]
+++ racfor_wiki:forenzika_windows_prefatch_datoteka [2024/12/05 12:24] (trenutno)
@@ Redak 14: / Redak 14: @@
 ===== Svrha Prefetch procesa i datoteka =====
-Cilj Prefetch procesa je analizirati i zabilježiti ponašanje aplikacije pri pokretanju njene izvršne datoteke kako bi buduća pokretanja bila efikasnija. Zabilježeno ponašanje datoteke se sprema u datoteku koja se naziva prefetch datoteka. Kada korisnik prvi put pokrene aplikaciju s određene datotečne putanje, operacijski sustav Windows stvori prefetch datoteku za tu aplikaciju unutar „%SystemRoot%\Prefetch” („C:\Windows\Prefetch”) direktorija. Prefetch datoteke imaju slijedeću konvenciju imenovanja:
+Cilj Prefetch procesa je analizirati i zabilježiti ponašanje aplikacije pri pokretanju njene izvršne datoteke kako bi buduća pokretanja bila efikasnija. Zabilježeno ponašanje izvršne datoteke se sprema u datoteku koja se naziva prefetch datoteka. Kada korisnik prvi put pokrene aplikaciju s određene datotečne putanje, operacijski sustav Windows stvori prefetch datoteku za tu aplikaciju unutar „%SystemRoot%\Prefetch” („C:\Windows\Prefetch”) direktorija. Prefetch datoteke imaju slijedeću konvenciju imenovanja:
        {exename}-{hash}.pf
-gdje je exename ime izvršne datoteke, hash sažetak putanje s koje je izvršna datoteka pokrenuta te je duljine osam heksadecimalnih znakova i .pf je datotečna ekstenzija. Važno je za napomenuti da znak povlake u imenu razdvaja exename od hash-a te da ime prefetch datoteke smije sadržavati samo velika slova. Stoga, ako je aplikacija pokrenuta s tri različite lokacije na disku, OS će stvoriti tri različite prefetch datoteke koje odgovaraju pojedinim lokacijama s kojih su te aplikacije pokrenute (detaljnije objašnjenje algoritama imenovanja prefetch datoteka je dostupno na [3]). Također, najveći dozvoljeni broj prefetch datoteka je 128 na operacijskim sustavima od Windows XP do Windows 7, te 1024 na operacijskim sustavima od Windows 8 do Windows 10 [2].
+gdje je exename ime izvršne datoteke, hash sažetak putanje s koje je izvršna datoteka pokrenuta te je duljine osam heksadecimalnih znakova i .pf je datotečna ekstenzija. Važno je za napomenuti da znak povlake u imenu razdvaja exename od hash-a te da ime prefetch datoteke smije sadržavati samo velika slova. Nadalje, ako je aplikacija pokrenuta s tri različite lokacije na disku, OS će stvoriti tri različite prefetch datoteke koje odgovaraju pojedinim lokacijama s kojih su te aplikacije pokrenute (detaljnije objašnjenje algoritama imenovanja prefetch datoteka je dostupno na [3]). Također, najveći dozvoljeni broj prefetch datoteka je 128 na operacijskim sustavima od Windows XP do Windows 7, te 1024 na operacijskim sustavima od Windows 8 do Windows 10 [2].
 Prefetch proces se izvodi kada operacijski sustav, odnosno Windows Cache Manager nadgleda koje podatkovne komponente se izvlače iz tvrdog diska u RAM memoriju, a samo nadgledanje se odvija u tri slučaja [1]. Najprije počinje sa svakim pokretanjem operacijskog sustava i traje dvije minute tijekom procesa pokretanja sustava (Boot procesa). Također, nadgledanje se odvija nakon dovršetka pokretanja svih Win32 servisa i traje 60 sekundi. Posljedni slučaj nadgledanja je pri svakom pokretanju aplikacije te traje prvih 10 sekundi njenog izvršavanja. Usporedno s nadgledanjem, Windows Cache Manager zajedno s Task Scheduler-om upisuje podatke u .pf datoteke. Te datoteke zatim ubrzaju sustav na način da služe kao alokator podataka s tvrdog diska u RAM memoriju prije nego što korisnik napravi zahtjev za njima. Zbog tog svojstva, prefetch datoteke su vrlo korisne pri forenzičkoj analizi pojedine aplikacije kao i analizi pokrenutih zloćudnih programa (poput npr. virusa, crva i sl.).
@@ Redak 54: / Redak 54: @@
      * Directory names
      * Trailing data
-Nabrojani elementi su zapravo tablice koje u svakom retku sadrže adresu odmaka do pojedinog podatka. Ovisno o verziji prefetch datoteka, odnosno verziji Windows OS-a, svaki od nabrojenih elemenata će imati sličnu ili različitu strukturu podataka, tj. različite odmake koji se nalaze u njima. Trenutne verzije prefetch datoteka su:
+Nabrojani elementi su zapravo tablice koje u svakom retku sadrže podatke na određenom adresnom odmaku od adrese početnog retka.  Ovisno o verziji prefetch datoteka, odnosno verziji Windows OS-a, svaki od nabrojenih elemenata će imati sličnu ili različitu strukturu podataka i s time različite odmake koji se nalaze u njima. Trenutne verzije prefetch datoteka su:
   * 17 – za Windows XP i Windows 2003
   * 23 – Vista i Windows 7

racfor_wiki/forenzika_windows_prefatch_datoteka.1610813714.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)