Windows-Prefetch: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Als '''Prefetching''' (eng. für "vorgreifen") bezeichnet man das voraussagende Laden von Inhalten.
Als '''Prefetching''' (engl. für "vorgreifen") bezeichnet man das voraussagende Laden von Inhalten. <br />
 
Dabei geht es darum, Inhalte auf einen schnelleren Speicher zu Laden, bevor diese potenziell benötigt werden. <br />
Im Falle eines tatsächlich eintretenden Bedarfs an diesen Inhalten, wird eine schnellere Zugriffsgeschwindigkeit ermöglicht.


== Prefetch-Cache ==
== Prefetch-Cache ==
Unter Windows wird der Prefetch-Cache primär zum schnelleren Laden häufig genutzter Programme genutzt. <br />
Als Cache wird ein schneller Speicher bezeichnet, der als Puffer dient, um häufig genutzte Daten schneller abrufbar zu machen. <br />
Speziell unter Windows werden unter dem Verzeichnispfad C:\Windows\Prefetch mehrere PF-Dateien erzeugt.  <br />
Aus den PF-Dateien im Prefetch-Verzeichnis lassen sich abhängig der Anwendung Informationen über die zusätzlich geladenen Dateien gewinnen (z.B.: DLL-, CSS-, JAR-Dateien oder weitere). 


 
=== Vorteile durch Caches ===
=== Arbeitsweise ===
* Das Öffnen von Dokumenten wird beschleunigt
 
* Das Laden von Programmen wird beschleunigt
* Das Hochfahren des Computers wird beschleunigt


=== Verwendung in der IT-Forensik ===
=== Verwendung in der IT-Forensik ===
In der IT-Forensik werden Einträge im Prefetch-Cache genutzt, um Hinweise auf vorab genutzte Dateien und Daten zu bekommen.
In der IT-Forensik werden Einträge im Prefetch-Cache genutzt, um Hinweise auf vorab genutzte Dateien und Daten zu bekommen. <br />
 
Mithilfe der Dateien im Prefetch-Cache kann eine grobe Timeline der Aktivitäten auf einem Computersystem erstellt werden. <br />
Zusätzlich erhält man durch die Einträge im Prefetch-Cache Einblicke, was zum jeweiligen Zeitpunkt an Daten abgefragt oder vorgehalten wurden.


=== Angriffsvektoren ===
Durch Angriffe wie "Cache-Poisoning" kann die Injektion von Daten durch Dritte, wie das Überschreiben von Daten im Cache erfolgen. <br />
Außerdem kann dadurch ein Zugriff auf nicht berechtigte Speicherinhalte ermöglicht werden, indem beispielsweise versucht wird, Inhalte in den Cache einzuschleusen.


== Werkzeuge ==
== Werkzeuge ==
unvollständige Liste in alphabetischer Reihenfolge
unvollständige Liste in alphabetischer Reihenfolge
* [https://github.com/EricZimmerman/Prefetch Prefetch-Parser]
* [https://github.com/EricZimmerman/Prefetch Prefetch-Parser]
 
* [https://pypi.org/project/windowsprefetch Python-Toolkit]
* [https://www.nirsoft.net/utils/win_prefetch_view.html WinPrefetchView]


== Weblinks ==
== Weblinks ==
# https://cqureacademy.com/blog/hacks/prefetch-parser
# https://cqureacademy.com/blog/hacks/prefetch-parser
# https://forensicswiki.xyz/wiki/index.php?title=Prefetch
# https://forensicswiki.xyz/wiki/index.php?title=Prefetch
 
# https://en.wikipedia.org/wiki/Cache_prefetching
# https://www.hackingarticles.in/forensic-investigation-prefetch-file/


== Literaturquellen ==
== Literaturquellen ==
* Andri P. Heriyanto, "Forensic examination and analysis of the Prefetch files on the banking Trojan malware incidents", <br />Edith Cowan University, 2014

Aktuelle Version vom 11. April 2021, 14:32 Uhr

Als Prefetching (engl. für "vorgreifen") bezeichnet man das voraussagende Laden von Inhalten.
Dabei geht es darum, Inhalte auf einen schnelleren Speicher zu Laden, bevor diese potenziell benötigt werden.
Im Falle eines tatsächlich eintretenden Bedarfs an diesen Inhalten, wird eine schnellere Zugriffsgeschwindigkeit ermöglicht.

Prefetch-Cache

Unter Windows wird der Prefetch-Cache primär zum schnelleren Laden häufig genutzter Programme genutzt.
Als Cache wird ein schneller Speicher bezeichnet, der als Puffer dient, um häufig genutzte Daten schneller abrufbar zu machen.
Speziell unter Windows werden unter dem Verzeichnispfad C:\Windows\Prefetch mehrere PF-Dateien erzeugt.
Aus den PF-Dateien im Prefetch-Verzeichnis lassen sich abhängig der Anwendung Informationen über die zusätzlich geladenen Dateien gewinnen (z.B.: DLL-, CSS-, JAR-Dateien oder weitere).

Vorteile durch Caches

  • Das Öffnen von Dokumenten wird beschleunigt
  • Das Laden von Programmen wird beschleunigt
  • Das Hochfahren des Computers wird beschleunigt

Verwendung in der IT-Forensik

In der IT-Forensik werden Einträge im Prefetch-Cache genutzt, um Hinweise auf vorab genutzte Dateien und Daten zu bekommen.
Mithilfe der Dateien im Prefetch-Cache kann eine grobe Timeline der Aktivitäten auf einem Computersystem erstellt werden.
Zusätzlich erhält man durch die Einträge im Prefetch-Cache Einblicke, was zum jeweiligen Zeitpunkt an Daten abgefragt oder vorgehalten wurden.

Angriffsvektoren

Durch Angriffe wie "Cache-Poisoning" kann die Injektion von Daten durch Dritte, wie das Überschreiben von Daten im Cache erfolgen.
Außerdem kann dadurch ein Zugriff auf nicht berechtigte Speicherinhalte ermöglicht werden, indem beispielsweise versucht wird, Inhalte in den Cache einzuschleusen.

Werkzeuge

unvollständige Liste in alphabetischer Reihenfolge

Weblinks

  1. https://cqureacademy.com/blog/hacks/prefetch-parser
  2. https://forensicswiki.xyz/wiki/index.php?title=Prefetch
  3. https://en.wikipedia.org/wiki/Cache_prefetching
  4. https://www.hackingarticles.in/forensic-investigation-prefetch-file/

Literaturquellen

  • Andri P. Heriyanto, "Forensic examination and analysis of the Prefetch files on the banking Trojan malware incidents",
    Edith Cowan University, 2014