天道酬勤Windows系统中Prefetch信息的提取与分析【】在Windows系统的Prefetch文件夹中存在大量的预读取文件,这些文件中实际上记录了具有一定取证价值的信息。文章试图通过运用一些分析工具来发现和提取文件中所包含的内容。【关键词】prefetch;prefetchparser;取证TheExtractionandAnalysisofPrefetchInformationinWindowsSystemLiYan(ComputerScienceandTechnologyDepartment,SichuanPoliceCollegeSichuanLuzhou646000)【Abstract】Therearealotofprefetchfilesinwindowssystem.Thesefilesactuallyrecordedmanyinformationofevidentiaryvalue.Theauthortriedtousesomeforensictoolstoextractandanalyzetheinformationofthefiles.【Keywords】prefetch;prefetchparser;forensics0引言计算机犯罪是目前破坏性较大的一类犯罪,而且犯罪数量急剧上升。在计算机犯罪侦查过程中,电子证据的发现和提取是非常重要的一个环节。计算机和网络中存储的电子证据种类很多,存放的位置也各不相同。作为专业的取证人员除了对电子证据可能存储的常规位置进行提取分析外,还应注意到在系统中还存在不少特殊文件同样也具有一定的取证价值。比方在Windows系统中存储在Prefetch文件夹中的预读文件。通过对这些文件的提取分析常常可以获得一些有用的信息。1Prefetch技术原理从WindowsXP系统开始,微软引入了预取技术〔Prefetch〕,其根本思路是,在载入某个程序之前,预先从硬盘上中载入一局部该程序运行所需的数据到物理内存中,这样便能加快程序的启动速度。当一个Windows系统启动时,大量文件需要读入内存进行处理。通常,这个过程包括在不同时间加载相同文件的不同片段。因此,在屡次翻开和访问文件时浪费了大量的时间。预读取通过观察在启动过程中访问了哪些代码和数据〔包括对NTFS系统中MFT表的读取〕,并把这个行为记录成一个跟踪文件。以后的启动可以使用记录在跟踪文件中信息更好地加载代码和数据。启动预读取技术会监视这样的行为直到用户外壳程序开始后30秒,或者在天道酬勤所有效劳完成初始化后的60秒,或者在系统启动后的120秒。应用程序预读取也是以相似的方式工作,但相反本地化为单个应用程序的启动,而且它仅对前十秒的活动进行监测。预读取在Windows启动目录的“prefetch〞文件夹中存储它的跟踪文件。启动跟踪文件的名字通常是NTOSBOOT-B00DFAAD.PF,而应用程序跟踪文件的名字是有应用程序可执行文件的名称,连字符以及文件驻留路径的哈希值的十六...
