Prefetch フォルダには、Layout.ini というテキストファイル（文字コードは UTF-16LE)もあります。このファイルに関する説明がマイクロソフトの資料に記述されています。 Microsoft Windows XP パフォーマンス*1より引用ここから Windows XP は既定で 3 日に…

ウイルスファイルが「Prefetch」フォルダ内で発見される http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-28565 Windows XP で Prefetcher コンポーネントを無効にする方法 http://support.microsoft.com/?id=307498 フロッピーディス…

なかなか使えそうな情報ですが、Prefetch フォルダに置かれたファイルの実行ユーザを調査員が読み違えてしまった事例が紹介されています。 Digital Forensic Readiness: Are You In? http://www.esecurityplanet.com/best_practices/article.php/3572896 調…

NTFSの代替データストリーム（ADS)からプログラムを起動した場合でも Prefetch フォルダに.pfファイルが作成されます。例えば、a.txt:notepad.exe を実行した場合、 Prefetch フォルダには以下のファイルが作成されます。 例）A.TXT:NOTEPAD.EXE-1F3C4875.pf…

PFファイルの中身はバイナリファイルの為、目視で確認しても意味不明の部分が大半です。しかし、istrings などで Unicode(UTF-16LE) 文字列を抽出すると、いろいろ読み取り可能な文字列を取り出すことができますが、これがなかなか興味深いです。 例えば、外…

Windows XP/Server 2003 には、アプリケーションの起動を高速化させる目的でプレフェッチ*1機能がありますが、これはフォレンジック調査でも興味深い機能だったりします。 Microsoft Windows XP パフォーマンス http://www.microsoft.com/japan/technet/prod…