Prefetch フォルダには、Layout.ini というテキストファイル（文字コードは UTF-16LE)もあります。このファイルに関する説明がマイクロソフトの資料に記述されています。 Microsoft Windows XP パフォーマンス*1より引用ここから Windows XP は既定で 3 日に…

ウイルスファイルが「Prefetch」フォルダ内で発見される http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-28565 Windows XP で Prefetcher コンポーネントを無効にする方法 http://support.microsoft.com/?id=307498 フロッピーディス…

なかなか使えそうな情報ですが、Prefetch フォルダに置かれたファイルの実行ユーザを調査員が読み違えてしまった事例が紹介されています。 Digital Forensic Readiness: Are You In? http://www.esecurityplanet.com/best_practices/article.php/3572896 調…

NTFSの代替データストリーム（ADS)からプログラムを起動した場合でも Prefetch フォルダに.pfファイルが作成されます。例えば、a.txt:notepad.exe を実行した場合、 Prefetch フォルダには以下のファイルが作成されます。 例）A.TXT:NOTEPAD.EXE-1F3C4875.pf…

PFファイルの中身はバイナリファイルの為、目視で確認しても意味不明の部分が大半です。しかし、istrings などで Unicode(UTF-16LE) 文字列を抽出すると、いろいろ読み取り可能な文字列を取り出すことができますが、これがなかなか興味深いです。 例えば、外…

Windows XP/Server 2003 には、アプリケーションの起動を高速化させる目的でプレフェッチ*1機能がありますが、これはフォレンジック調査でも興味深い機能だったりします。 Microsoft Windows XP パフォーマンス http://www.microsoft.com/japan/technet/prod…

HAP・DCO とくれば、ATA のあれ*1ね〜となるわけですが、Chapter 4 を眺めて章末の問題を解いていたところ7問目の選択肢に以下の記述が。 B. Stands for Dynamic Configuration Overlay これは無いよねとか思ったら、回答間違えた...orz DCO は「Device Conf…

順を追って SI と FN の変化を見ていきます。 ファイルを新規に作成すると、SI と FN には作成日時として同じ値が記録される ハードリンクを作成すると、 FN2 にその時点の SI の値が記録される ファイル（FN1）を移動すると、その時点の SI が FN に記録さ…

ファイル MACE.TXT に対して、NTFS ハードリンクを設定したところです。*1 ちょっとわかりにくいかもしれませんが、赤字で「30」となっている箇所が $FILE_NAME の属性値を示しており、MACE.txt と hardlink.txt の二つの $FILE_NAME 属性がこのレコードには…

ファイル名：MACE.txt の ＄MFT レコードを 16進形式で表示しているところですが、UTF-16LE で 0xF2 の辺りからファイル名が記録されているのがわかるかと思います。このファイル名を記録している属性値（＄FILE_NAME）が持つタイムスタンプが少し上にあり、…

timestomp はフォレンジック調査においてタイムスタンプが使われるのに対抗するための Anti-forensics ツールで、MACE タイムスタンプを表示・変更することが可能なツールです。平たく言えばタイムスタンプの変更ツールなわけですが、1601年〜30827年の任意…

今頃かよ！という噂もありますが、前々回*1のセキュ蕎麦の資料を以下の URL に置きました。*2 Time Stamp vs Time Stomp http://forensics.sakura.ne.jp/PPT/20051105-soba-ihara.pdf Metasploit Anti-forensics homepage で公開されている timestomp という…