Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:forenzika_windows_prefatch_datoteka [2021/01/16 16:16]
izuglic [Svrha Prefetch procesa i datoteka] 		racfor_wiki:forenzika_windows_prefatch_datoteka [2024/12/05 12:24] (trenutno)
Redak 18: Redak 18:
        {exename}-{hash}.pf        {exename}-{hash}.pf
  
-gdje je exename ime izvršne datoteke, hash sažetak putanje s koje je izvršna datoteka pokrenuta te je duljine osam heksadecimalnih znakova i .pf je datotečna ekstenzija. Važno je za napomenuti da znak povlake u imenu razdvaja exename od hash-a te da ime prefetch datoteke smije sadržavati samo velika slova. Stoga, ako je aplikacija pokrenuta s tri različite lokacije na disku, OS će stvoriti tri različite prefetch datoteke koje odgovaraju pojedinim lokacijama s kojih su te aplikacije pokrenute (detaljnije objašnjenje algoritama imenovanja prefetch datoteka je dostupno na [3]). Također, najveći dozvoljeni broj prefetch datoteka je 128 na operacijskim sustavima od Windows XP do Windows 7, te 1024 na operacijskim sustavima od Windows 8 do Windows 10 [2]. +gdje je exename ime izvršne datoteke, hash sažetak putanje s koje je izvršna datoteka pokrenuta te je duljine osam heksadecimalnih znakova i .pf je datotečna ekstenzija. Važno je za napomenuti da znak povlake u imenu razdvaja exename od hash-a te da ime prefetch datoteke smije sadržavati samo velika slova. Nadalje, ako je aplikacija pokrenuta s tri različite lokacije na disku, OS će stvoriti tri različite prefetch datoteke koje odgovaraju pojedinim lokacijama s kojih su te aplikacije pokrenute (detaljnije objašnjenje algoritama imenovanja prefetch datoteka je dostupno na [3]). Također, najveći dozvoljeni broj prefetch datoteka je 128 na operacijskim sustavima od Windows XP do Windows 7, te 1024 na operacijskim sustavima od Windows 8 do Windows 10 [2]. 
  
 Prefetch proces se izvodi kada operacijski sustav, odnosno Windows Cache Manager nadgleda koje podatkovne komponente se izvlače iz tvrdog diska u RAM memoriju, a samo nadgledanje se odvija u tri slučaja [1]. Najprije počinje sa svakim pokretanjem operacijskog sustava i traje dvije minute tijekom procesa pokretanja sustava (Boot procesa). Također, nadgledanje se odvija nakon dovršetka pokretanja svih Win32 servisa i traje 60 sekundi. Posljedni slučaj nadgledanja je pri svakom pokretanju aplikacije te traje prvih 10 sekundi njenog izvršavanja. Usporedno s nadgledanjem, Windows Cache Manager zajedno s Task Scheduler-om upisuje podatke u .pf datoteke. Te datoteke zatim ubrzaju sustav na način da služe kao alokator podataka s tvrdog diska u RAM memoriju prije nego što korisnik napravi zahtjev za njima. Zbog tog svojstva, prefetch datoteke su vrlo korisne pri forenzičkoj analizi pojedine aplikacije kao i analizi pokrenutih zloćudnih programa (poput npr. virusa, crva i sl.). Prefetch proces se izvodi kada operacijski sustav, odnosno Windows Cache Manager nadgleda koje podatkovne komponente se izvlače iz tvrdog diska u RAM memoriju, a samo nadgledanje se odvija u tri slučaja [1]. Najprije počinje sa svakim pokretanjem operacijskog sustava i traje dvije minute tijekom procesa pokretanja sustava (Boot procesa). Također, nadgledanje se odvija nakon dovršetka pokretanja svih Win32 servisa i traje 60 sekundi. Posljedni slučaj nadgledanja je pri svakom pokretanju aplikacije te traje prvih 10 sekundi njenog izvršavanja. Usporedno s nadgledanjem, Windows Cache Manager zajedno s Task Scheduler-om upisuje podatke u .pf datoteke. Te datoteke zatim ubrzaju sustav na način da služe kao alokator podataka s tvrdog diska u RAM memoriju prije nego što korisnik napravi zahtjev za njima. Zbog tog svojstva, prefetch datoteke su vrlo korisne pri forenzičkoj analizi pojedine aplikacije kao i analizi pokrenutih zloćudnih programa (poput npr. virusa, crva i sl.).
Redak 54: Redak 54:
      * Directory names      * Directory names
      * Trailing data         * Trailing data   
-Nabrojani elementi su zapravo tablice koje u svakom retku sadrže adresu odmaka do pojedinog podatka. Ovisno o verziji prefetch datoteka, odnosno verziji Windows OS-a, svaki od nabrojenih elemenata će imati sličnu ili različitu strukturu podataka, tj. različite odmake koji se nalaze u njima. Trenutne verzije prefetch datoteka su:+Nabrojani elementi su zapravo tablice koje u svakom retku sadrže podatke na određenom adresnom odmaku od adrese početnog retka Ovisno o verziji prefetch datoteka, odnosno verziji Windows OS-a, svaki od nabrojenih elemenata će imati sličnu ili različitu strukturu podataka i s time različite odmake koji se nalaze u njima. Trenutne verzije prefetch datoteka su:
   * 17 – za Windows XP i Windows 2003   * 17 – za Windows XP i Windows 2003
   * 23 – Vista i Windows 7   * 23 – Vista i Windows 7
racfor_wiki/forenzika_windows_prefatch_datoteka.1610813779.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0