Merhaba TürkHackTeam Üyeleri.
Bu Konumda Sizlere Windows'da Prefetch Analizi Yapmayı Göstereceğim.
Konu İçeriği
➤ Windows Prefetch Nedir?
➤ Windows Prefetch Analizi Nasıl Yapılır?
Windows Prefetch Nedir?
Microsoft'un ilk olarak XP ile Windows cihazlara eklediği bu özellik, cihazda bir ilk defa bir uygulama açıldığında o uygulamanın bir prefetch dosyasını oluşturur. Bu dosya sayesinde kullanıcının o uygulamaya bir sonraki girişlerinde daha hızlı işlemler yapması sağlanır. Olaya adli açıdan bakacak olursak bu prefetch dosyaları incelenerek ilgili uygulamanın en son ne zaman çalıştırıldığı, ne kadar çalıştırıldığı, uygulamanın bulunduğu yolu, hangi DLL'leri talep ettiği ve uygulamanın çalıştırdığı programlar ve izinleri gibi verilere ulaşabiliriz. Windows uygulamalara ait prefetch kayıtlarını aşağıdaki dizinde saklar.
Kod:
[CENTER]C:\Windows\Prefetch[/CENTER]
Bu dizine giriş yaptığımızda yukarıdaki gibi pekçok prefetch kaydıyla karşılaşırız. İşaretlediğim kayıtta da görebileceğiniz üzere bu kayıt dosyalarının isimleri ilk başta ilgili uygulamanın ismi daha sonra "-" işareti sonrasında da 8 karakterlik bir hash bulunuyor. Dosyanın uzantısı ise .pf olarak kaydediliyor. Bu 8 karakterlik hash'ler dosyanın çalıştırıldığı yolun windows tarafından karıştırılmış şekilde adlandırılmasıdır.
Windows Prefetch Analizi Nasıl Yapılır?
» Biz prefetch analizini yapmak için PECmd isimli aracı kullanacağız. Öncelikle buraya tıklayarak aracımızın geliştiricisinin sayfasına gidiyoruz. Ve buradan kullanacağımız araç olan PECmd aracının yanındaki sürüm bilgisine tıklıyoruz. Aracımız indirilmeye başlayacaktır.
» İndirilme işlemi bittikten sonra komut istemini yani CMD'yi açıyoruz. Ve CMD'den aracımızın bulunduğu dizine giriyoruz.
» Burada aşağıdaki komutu çalıştırarak masaüstüne bir sonuç dosyasının oluşturulmasını sağlıyoruz.
Kod:
[CENTER]PECmd.exe -d C:\Windows\prefetch > C:\Users\<username>\Desktop\output.txt[/CENTER]
» Sonuç dosyamız masaüstüne oluşturuluyor. Bu dosyayı açtığımızda bize bütün prefetch kayıt dosyaları hakkında bazı bilgiler veriyor. Bu bilgiler uygulamanın ismi, ne zaman oluşturulduğu, hash değeri, dosya boyutu, ne kadar çalıştırıldığı, en son ne zaman çalıştırıldığı ve hangi DLL ve dosyalara başvurduğu gibi bilgilerdir.
» Şimdi ilk başta size gösterdiğim notepad.exe dosyasının prefetch kaydını inceleyelim. Burada görüldüğü gibi uygulama 2020-06-25 16:48:44 tarihinde oluşturulmuş. Uygulamanın ismi NOTEPAD.EXE imiş. Uygulamanın hash değeri D8414F97 imiş. Ve uygulama 108.982 baytlık yer kaplıyormuş. En son 2020-10-17 16:43:09 tarihinde çalıştırılmış. Ve oluşturulduğundan bu zamana kadar 208 defa çalıştırılmış.
» Biraz aşağıya inersek uygulamanın 29 farklı klasörden ve 46 farklı dosyadan referans aldığını görüyoruz. İşte bu şekilde kullanıcının yüklenen programlar ile olan ilişkilerini basitçe analiz edebiliriz.
Okuduğunuz İçin Teşekkür Ederim.
Esenlikle Kalın..
Saygılarımla:Smiley1021:
