Windows系统中Prefetch信息提取与分析.docVIP

Windows系统中Prefetch信息提取与分析 　　【 摘 要 】 在Windows系统的Prefetch文件夹中存在大量的预读取文件，这些文件中实际上记录了具有一定取证价值的信息。文章试图通过运用一些分析工具来发现和提取文件中所包含的内容。 　　【 关键词 】 prefetch；prefetch parser；取证 　　The Extraction and Analysis of Prefetch Information in Windows System 　　Li Yan 　　(Computer Science and Technology Department, Sichuan Police College SichuanLuzhou 646000) 　　【 Abstract 】 There are a lot of prefetch files in windows system. These files actually recorded many information of evidentiary value. The author tried to use some forensic tools to extract and analyze the information of the files. 　　【 Keywords 】 prefetch; prefetch parser; forensics 　　0 引言 　　计算机犯罪是目前破坏性较大的一类犯罪，而且犯罪数量急剧上升。在计算机犯罪侦查过程中，电子证据的发现和提取是非常重要的一个环节。计算机和网络中存储的电子证据种类很多，存放的位置也各不相同。作为专业的取证人员除了对电子证据可能存储的常规位置进行提取分析外，还应注意到在系统中还存在不少特殊文件同样也具有一定的取证价值。比如在Windows系统中存储在Prefetch文件夹中的预读文件。通过对这些文件的提取分析常常可以获得一些有用的信息。 　　1 Prefetch技术原理 　　从Windows XP系统开始，微软引入了预取技术（Prefetch），其基本思路是，在载入某个程序之前，预先从硬盘上中载入一部分该程序运行所需的数据到物理内存中，这样便能加快程序的启动速度。 　　当一个Windows系统启动时，大量文件需要读入内存进行处理。通常，这个过程包括在不同时间加载相同文件的不同片段。因此，在多次打开和访问文件时浪费了大量的时间。预读取通过观察在启动过程中访问了哪些代码和数据（包括对NTFS系统中MFT表的读取），并把这个行为记录成一个跟踪文件。以后的启动可以使用记录在跟踪文件中信息更好地加载代码和数据。启动预读取技术会监视这样的行为直到用户外壳程序开始后30秒，或者在所有服务完成初始化后的60秒，或者在系统启动后的120秒。应用程序预读取也是以相似的方式工作，但相反本地化为单个应用程序的启动，而且它仅对前十秒的活动进行监测。 　　预读取在Windows启动目录的“prefetch”文件夹中存储它的跟踪文件。启动跟踪文件的名字通常是NTOSBOOT-B00DFAAD.PF，而应用程序跟踪文件的名字是有应用程序可执行文件的名称，连字符以及文件驻留路径的哈希值的十六进制表示形式等组合而成，扩展名为“ .pf”。如果同一个应用程序是从磁盘的不同位置启动运行的，比如用户运行C:\program files\winhex\winhex.exe或者运行D:\winhex\winhex.exe，最后会在Prefetch文件夹中产生两个不同的pf文件。承载其他组件的应用程序（比如，微软管理控制台）同样有已加载的组件的名称，并包含在计算的哈希值中；这导致对应每个组件将创建不同的跟踪文件。 　　任务计划程序是负责分析由预读取收集的跟踪数据并且把文件写入预读取目录的过程。最后，如果任务计划服务没有启动，预读取将无法正常运行。任务计划程序的另一个功能是它能够与 Windows 磁盘碎片整理程序进行交互。每隔三天，当机器处于空闲状态，在启动过程和应用程序开始运行时会创建一个可参考的文件和目录列表。这个列表存放在Prefetch目录中的layout.ini文件中，它随后被传递给磁盘碎片整理程序，指示它按照物理硬盘上的先后顺序放置所有文件，这将进一步提高启动性能，也就是说Windows在等待硬盘磁头移动到相应数据位置可以化更少的时间。或者，如果不需要作全面的碎片整理，可以在命令行中输入“Defrag.exe?%systemdrive% -b”强行对预读取文件进行整理。 　　Windows XP/Server 2003允许我们改变预读取方式，自己动手设置预读取的对象。方法是：点击“开始→运行”，在运行对话框中输入“Regedit