ART100
-
Digital Forensic Challenge 2019 ART100 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 17. 14:07
문제를 보면 이미지 디스크 안에 들어있는 프리패치 파일과 이벤트 추적 로그를 분석하는 것이 문제인것 같습니다. 일단 프리패치파일(Prefetch File) 과 이벤트 추적 로그(Event Trace)에 대해서 먼저 알아보겠습니다. 1. Prefetch File? 일반적으로 응용 프로그램의 페이지를 미리 로드 하여 시스템 성능을 높이는 기능을 하는 파일을 프리패치 파일(Prefetch File) 이라고 이야기 합니다. 실행 파일이 사용하는 특정 파일을 미리 저장 해서 윈도우 부팅시에 프리패치 파일을 모두 메모리에 로드시켜서 실행속도를 향상시킵니다. 캐시 관리자는 모든 파일 및 디렉터리를 모니터링하고 .pf파일로 매핑을 하는데 각 .pf는 실행의 마지막 시간. 실행 횟구 및 프로그램 날짜/시간 파일에서 사용..