시스템에서 앱을 실행할 때마다 앱에서 로드한 파일에 대한 정보가 포함된
"프리페치 파일이 Windows 운영 체제에 의해 생성"된다.
프리페치 파일의 정보는 다음에 애플리케이션을 실행할 때 애플리케이션 로딩 시간을 최적화하는 데 사용되는데
지금 소개할 WinPrefetchView는 시스템에 저장된 Prefetch 파일을 읽고
그 안에 저장된 정보를 표시하는 작은 유틸리티다.
이 파일을 살펴보면 모든 응용 프로그램이 사용하는 파일과 Windows 부팅 시 로드되는 파일을 알 수 있다.
https://www.nirsoft.net/utils/win_prefetch_view.html
View the content of Windows Prefetch (.pf) files
WinPrefetchView v1.37 Copyright (c) 2010 - 2021 Nir Sofer Description Each time that you run an application in your system, a Prefetch file which contains information about the files loaded by the application is created by Windows operating system. T
www.nirsoft.net
WinPrefetchView에는 설치 프로세스나 추가 DLL 파일이 필요하지 않다.
시작하려면 실행 파일인 WinPrefetchView.exe를 실행하면 된다.
WinPrefetchView의 기본 창에는 2개의 창이 있다.
위쪽 창에는 시스템의 모든 Prefetch 파일 목록이 표시되는데
위쪽 창에서 파일을 선택하면 아래쪽 창에 선택한 프리페치 파일 내에 저장된 파일 목록이 표시된다.
(이 파일 목록은 이전에 응용 프로그램을 사용했을 때 응용 프로그램에서 로드한 파일을 나타낸다.)
프리페치 파일 목록(리스트)에서 아이템을 선택하면 세부 사항이 나타난다.
언제 어떤 파일을 어떤 이유로 실행시켰는지 쉽게 알 수 있다.
'디지털포렌식(Digital forensic)' 카테고리의 다른 글
| 사생활이 기록된 Index.dat 분석기 (0) | 2023.11.12 |
|---|---|
| 대체 데이터 스트림(ADS) 검출과 삭제방법 - 디지털포렌식 (0) | 2023.11.11 |
| 포렌식 소프트웨어, ArtiFast Light (0) | 2023.11.10 |
| Windows 11의 휴지통에 대한 디지털 포렌식 (3) | 2023.11.09 |
| 16진수 Hex 편집기 HxD (0) | 2023.11.09 |
