Forensics Windows Prefetch



운영 체제: Windows 10 x64 Home 1909






포렌식 Windows Prefetch에 대해서 알아보겠습니다.








Prefetch는 윈도우가 특정 프로그램을 로딩할 때 속도를 증가시키기 위해서 만드는 공간입니다.

Prefetch는 프로그램이 한 번 실행될 때 생성됩니다. 이 생성된 파일은 유용한 정보들이 저장되어 있습니다.



Filename 파일 이름

Created Time 생성 날짜

Modifed Time 수정된 날짜

File Size 파일 크기

Process EXE EXE 파일 이름

Process Path 실행 파일 경로

Run Conter 실행 횟수

Last Run Time 마지막 실행 날짜

Missing Process 현재 프로그램 삭제 여부



Prefetch의 위치는 다음과 같습니다.

C:\Windows\Prefetch



파일 확장자는 .pf 형식입니다.

해당 파일을 쉽게 읽기 위해서는 특정한 파일이 필요합니다.

제가 사용해본 프로그램은 WinPrefetchView입니다.

https://www.nirsoft.net/utils/win_prefetch_view.html










Prefetch 파일은 위의 사항 말고도 메모리에 올라온 File의 이름과 순서도 알 수 있습니다.











가운데를 기준으로 위쪽 영역이 Prefetch 영역, 아래 영역이 해당 프로그램이 실행될 때 메모리에 올라온 파일 정보입니다.







끝.


카테고리: forensic
 








[계수기] 앱 광고

외국: Hand Counter




계수기 앱.

하나씩 개수를 셀 때 사용해보세요.

센 숫자를 메모와 함께 저장할 수 있습니다.


감사합니다.


[계수기] 앱 광고 끝.

세계적인 앱 개발자(The world-class application developer)
반구저기(反求諸己)

댓글

댓글 쓰기

궁금한 점은 댓글 달아주세요.
Comment if you have any questions.

이 블로그의 인기 게시물

Python urllib.parse.quote()

이미지
사용 버전: Python 3.6.8 사용 프로그램: Atom 1.40.1 x64 ​ 파이썬 urllib.parse.quote()에 대해서 알아보겠습니다. 괄호 안에는 string, safe, encoding, errors 인자가 들어갑니다. ​ urllib.parse.quote()는 아스키코드 형식이 아닌 글자를 URL 인코딩 시켜줍니다. ​ String 인자에는 string, bytes 형식이 들어갑니다. String 형식. Bytes 형식 Safe 인자에는 URL encoding에서 제외할 문자를 넣습니다. 기본으로 '/'이 설정되어 있습니다. Encoding 인자에는 인코딩 이름이 들어갑니다.  string에 들어가는 문자와 맞지 않으면 오류가 나옵니다. 기본적으로 'utf-8'이 들어갑니다. Error 인자에는 'strict', 'ignore', 'replace', 'xmlcharrefreplace', 'backslashreplace', 'namereplace', 'surrogateescape', 'surrogatepass'가 들어갑니다. 기본적으로 strict가 설정되어 있습니다. unicode 오류를 알려줍니다. Ignore의 경우 오류는 무시하고, 변환할 수 있는 것만 변환합니다. Replace는 에러 글자를 '?'로 변환해줍니다. 그리고 quote(
자세히 보기 »

Python bytes.fromhex()

이미지
사용 버전: Python 3.6.8 사용 프로그램: Atom 1.38.2 x64 ​ 파이썬 bytes.fromhex()에 대해서 알아보겠습니다. 괄호 안에는 bytes 형식으로 바꿀 hex 숫자가 들어갑니다. ​ bytes.fromhex()은 hex 숫자에 '\x'를 붙여 bytes 형식으로 변형합니다. 끝. 카테고리: Standard Library, Python
자세히 보기 »

Python OpenCV 빈 화면 만들기

이미지
사용 버전: Python 3.7.6, OpenCV 4.2.0 ​ 파이썬 OpenCV 빈 화면 만들기를 해보겠습니다. ​ 검정 빈 화면을 만들기 위해서는 numpy가 필요합니다. ​ img1의 경우는 color로 불러들었을 때를 위한 빈 화면이고, img2의 경우는 grayscale로 불러들었을 때의 빈 화면입니다. ​ 끝. 카테고리: Python, cv2
자세히 보기 »

About Subnet Mask App

이미지
Hello, everyone! Thanks to use my app. About Subnet Mask App is available on Android and iOS. 안녕하세요. 여러분! 제 앱을 사용해주셔서 감사합니다. About Subnet Mask 앱은 안드로이드와 iOS에서 모두 사용 가능합니다. Android Release Note [2.0.0] •  Release version 2.0.0 (2024.08.19.) •  Change lifecycle onStart → onCreate. Duplicated call bug fix (2024.08.19.) •  Use Semantic versioning, 61.0 → 2.0.0. Improve maintainability (2024.08.14.) •  Apply Gradle Composite. Easy to maintenance and apply Plugins (2024.08.11. ~ 2024.08.13.) •  Change Gradle and JVM configuration. Reduce build time probable maximum 9.7s → 2.5s, 73%(2024.08.09.) •  Collect Birthday and save it in Proto DataStore. Connect it UMP(User Messaging Platform) and AdMob (2024.07.31. ~ 2024.08.09.) •  Remove redundant instrumented test build. Reduce test build time 3m → 30s, 83% (2024.07.19.) •  Change LiveData → Flow. Easy to test (2024.07.18. ~ 2024.07.29.) •  Remove Databinding. Remove Kapt (2024.07.18. ~ 2024.07.29.) •  Change Jetpack Naviga
자세히 보기 »

tensorflow tf.expand_dims()

이미지
사용 버전: Python 3.7.6, Tensorflow 2.1.0 ​ tensorflow(텐서플로우) tf.expand_dims()에 대해서 알아보겠습니다. 괄호 안에는 input, axis, name 따위가 들어갑니다. ​ tf.expand_dims()는 배열의 차원을 늘려줍니다. input에는 늘려질 배열을 넣습니다. axis는 몇 번째 차원의 크기를 늘릴 건지 숫자를 넣습니다. axis = 0 일 때. ​ ​ axis = 1 일 때. ​ ​ axis = 2 일 때. ​ ​ 끝. 카테고리: Tensorflow_python, Python
자세히 보기 »

Forensics .pyc 파일 .py로 복구하기

이미지
사용 버전: Python 3.7 운영 체제: Windows 10 Home x64 1909 사용 도구: Uncompyle6 ​ 포렌식 .pyc 파일 .py로 복구하기에 대해서 알아보겠습니다. ​ 만약 여러분이 파이썬 파일을 지워버렸는데, .pyc 파일은 남아있다면 다시 복구할 수 있습니다. ​ 보통 .pyc 파일은 수동으로 만들지 않는 이상 main 함수가 남아있지는 않습니다. 자동 생성되는 경우는 다른 python script를 참조할 때, 참조한 script가 pyc로 생성합니다. ​ uncompyle6를 설치합니다. python -m pip install uncomply6 ​ 저는 해당 .pyc 파일을 사용하겠습니다. 아래 git에 들어가면 동일한 파일을 사용할 수 있습니다. https://github.com/shwoghk14/mnist_tensorflow/tree/master/Start%204/__pycache__ 사용법은 다음과 같습니다. cmd 창을 엽니다. ​ uncompyle6 [복구할 .pyc 파일 이름] 완료되면, 다음과 같이 원본 py 내용이 나옵니다. ​ uncompyle6 version python bytecode 버전 python 버전 file name compiled 날짜 Size 등의 중요한 정보와 함께 원본 python script가 출력됩니다. ​ 해당 파일의 원본은 mnist_util.py입니다. 비교해 보시면 좋을 것 같네요. https://github.com/shwoghk14/mnist_tensorflow/tree/master/Start%204 ​ 끝. 카테고리: forensic [계수기] 앱 광고 외국: Hand Counter https://play.google.com/store/apps/details?id=starlight.jaehwa.handcounter 계수기 앱. 하나씩 개수를 셀 때 사용해보세요.
자세히 보기 »

Android AVD Ram size change

이미지
사용 버전: Android Studio 4.1.1 사용 언어: Kotlin 1.4.20 ​ 안드로이드 AVD Ram size change를 해보겠습니다. ​ 안드로이드에는 AVD(Android Virtual Device)라는 가상 기기를 제공해 줍니다. 해당 가상 기기의 램 크기를 변경해보도록 하겠습니다. ​ AVD Manager에 들어갑니다. 아래의 창이 나옵니다. 아래로 향한 화살표를 눌러 Show on Disk를 누릅니다. 폴더가 하나 열립니다. config.ini 파일을 찾아 메모장 파일로 엽니다. hw.ramSize를 변경합니다. ​ ​ ​ 저는 3072로 변경했습니다. 저장합니다. ​ ​ 다시 AVD Manager로 돌아와서 연필 모양을 누릅니다. Show Advanced Settings를 누릅니다. RAM 영역을 보면, 아까 입력한 3072로 변경된 것을 확인할 수 있습니다. 끝. 카테고리: Android
자세히 보기 »

Hand Counter App

이미지
Hello, everyone! Thanks to use my app. Hand Counter App is available on Android and iOS. 안녕하세요. 여러분! 제 앱을 사용해주셔서 감사합니다. 계수기 앱은 안드로이드와 iOS에서 모두 사용 가능합니다.
자세히 보기 »

Android Minimum touch target size

이미지
사용 언어: Kotlin 1.7.10 사용 버전: Android Studio Chipmunk 2021.2.1 Patch 1 ​ Android Minimum touch target size를 알아보겠습니다. ​ 사용자의 사용성을 위해서 구글에서는 안드로이드 터치 영역 크기를 최소한 이 정도는 해야 한다고 권고하고 있습니다. ​ https://support.google.com/accessibility/android/answer/7101858 바로 48dp x 48 dp 크기입니다. 해당 크기가 사용성을 고려했을 때 최소한의 크기입니다. 이것보다 크기가 작다면 경고를 볼 수 있습니다. 아래는 layout 파일에서 볼 수 있는 경고 창입니다. 현재 터치 영역의 크기가 30dp x 30dp이므로 이것을 48dp x 48dp로 만들라고 알려주고 있습니다. ​ ​ 끝. 카테고리: Android
자세히 보기 »

딩기 요트 명칭

이미지
딩기 요트 명칭을 알아보겠습니다. ​ 딩기 요트(Dinghy Yacht)란 엔진이 없고 바람으로 가는 작은 요트(1~3 인승)를 말합니다. 돛단배랑 비슷하다고 보면 되는데, 돛단배와의 차이점은 바람을 거슬러 올라갈 수 있다는 점입니다. 엔진이 없는데 바람을 거슬러 올라간다? 신기하죠? 어떤 장치가 있기 때문인데요. 아래 명칭을 보면서 어떤 장치가 바람을 거슬러 오를 수 있게 해주는 지도 알려드릴게요. 고화질 참고 자료를 기대하셨다면 아쉽게도 그런 거 없습니다. ​ 위에가 대략적인 딩기 요트의 명칭을 적은 그림입니다. 메인 세일: 주 동력원입니다. 바람이 요트를 움직일 수 있게 만들어 줍니다. 마스트: 메인 세일을 다는 기둥입니다. 붐: 메인 세일 밑에 자리하며 메인 세일을 펼쳐지게 만드는 막대기입니다. 붐뱅: 붐과 마스트를 연결해 주는 시트(밧줄)입니다. 블록(도르래)들이 달려 있습니다. 바우: 배의 앞 부분을 말합니다. 대거보드: 바람을 거슬러 오를 수 있게 해줍니다. 옆으로 뒤집히면 요트를 세우는 역할도 합니다. 완전히 빠지지 않는 것은 센터보드라고 부릅니다. 메인시트: 메인 세일의 각도를 조정할 수 있는 시트(밧줄)입니다. 러더: 배의 방향을 조정하는 부위입니다. 틸러: 러더를 조작할 수 있는 조정장치입니다. ​ ​ 대략 이 정도가 있는 것 같아요. 위에서 말한 바람을 거슬러 갈 수 있게 해주는 게 바로 대거보드 였습니다. 돛단배는 이 대거보드가 없기 때문에 바람을 거슬러 갈 수 없답니다. ​ ​ 끝. 카테고리: Yacht
자세히 보기 »