1、天道酬勤Windows系统中Prefetch信息的提取与分析【 】 在Windows系统的Prefetch文件夹中存在大量的预读取文件,这些文件中实际上记录了具有一定取证价值的信息。文章试图通过运用一些分析工具来发现和提取文件中所包含的内容。【 关键词 】 prefetch;prefetch parser;取证The Extraction and Analysis of Prefetch Information in Windows SystemLi Yan(Computer Science and Technology Department, Sichuan Police CollegeSi
2、chuanLuzhou 646000)【 Abstract 】 There are a lot of prefetch files in windows system. These files actually recorded many information of evidentiary value. The author tried to use some forensic tools to extract and analyze the information of the files.【 Keywords 】 prefetch; prefetch parser; forensics0
3、 引言计算机犯罪是目前破坏性较大的一类犯罪,而且犯罪数量急剧上升。在计算机犯罪侦查过程中,电子证据的发现和提取是非常重要的一个环节。计算机和网络中存储的电子证据种类很多,存放的位置也各不相同。作为专业的取证人员除了对电子证据可能存储的常规位置进行提取分析外,还应注意到在系统中还存在不少特殊文件同样也具有一定的取证价值。比方在Windows系统中存储在Prefetch文件夹中的预读文件。通过对这些文件的提取分析常常可以获得一些有用的信息。1 Prefetch技术原理从Windows XP系统开始,微软引入了预取技术Prefetch,其根本思路是,在载入某个程序之前,预先从硬盘上中载入一局部该程序
4、运行所需的数据到物理内存中,这样便能加快程序的启动速度。当一个Windows系统启动时,大量文件需要读入内存进行处理。通常,这个过程包括在不同时间加载相同文件的不同片段。因此,在屡次翻开和访问文件时浪费了大量的时间。预读取通过观察在启动过程中访问了哪些代码和数据包括对NTFS系统中MFT表的读取,并把这个行为记录成一个跟踪文件。以后的启动可以使用记录在跟踪文件中信息更好地加载代码和数据。启动预读取技术会监视这样的行为直到用户外壳程序开始后30秒,或者在所有效劳完成初始化后的60秒,或者在系统启动后的120秒。应用程序预读取也是以相似的方式工作,但相反本地化为单个应用程序的启动,而且它仅对前十秒
5、的活动进行监测。预读取在Windows启动目录的“prefetch文件夹中存储它的跟踪文件。启动跟踪文件的名字通常是NTOSBOOT-B00DFAAD.PF,而应用程序跟踪文件的名字是有应用程序可执行文件的名称,连字符以及文件驻留路径的哈希值的十六进制表示形式等组合而成,扩展名为“ .pf。如果同一个应用程序是从磁盘的不同位置启动运行的,比方用户运行C:program fileswinhexwinhex.exe或者运行D:winhexwinhex.exe,最后会在Prefetch文件夹中产生两个不同的pf文件。承载其他组件的应用程序比方,微软管理控制台同样有已加载的组件的名称,并包含在计算的哈
6、希值中;这导致对应每个组件将创立不同的跟踪文件。任务方案程序是负责分析由预读取收集的跟踪数据并且把文件写入预读取目录的过程。最后,如果任务方案效劳没有启动,预读取将无法正常运行。任务方案程序的另一个功能是它能够与 Windows 磁盘碎片整理程序进行交互。每隔三天,当机器处于空闲状态,在启动过程和应用程序开始运行时会创立一个可参考的文件和目录列表。这个列表存放在Prefetch目录中的layout.ini文件中,它随后被传递给磁盘碎片整理程序,指示它按照物理硬盘上的先后顺序放置所有文件,这将进一步提高启动性能,也就是说Windows在等待硬盘磁头移动到相应数据位置可以化更少的时间。或者,如果不
7、需要作全面的碎片整理,可以在命令行中输入“Defrag.exe%systemdrive% -b强行对预读取文件进行整理。Windows XP/Server 2003允许我们改变预读取方式,自己动手设置预读取的对象。方法是:点击“开始运行,在运行对话框中输入“Regedit,翻开注册表编辑器,依次展开“Hkey_Local_MachineSystem CurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters分支,找到右侧窗口中的“EnablePrefetcher子键,就是该键值控制着的Windows XP
8、/Server 2003的预读取方式。在“EnablePrefetcher上双击,翻开“DWORD值编辑窗口,通过改变“数值数据的值来对Windows XP/Server 2003进行预读取设置。将“数值数据设置为:“0取消预读取功能;“1系统将只预读取应用程序;“2系统将只预读取Windows系统文件,此为Windows XP/Server 2003的默认设置;“3系统将预读取Windows系统文件和应用程序。通常建议设置为3。2 Prefetch文件夹中存储的信息从预读取技术的原理可以发现在Prefetch文件夹实际记录了用户经常运行的应用程序,这对于计算机取证人员来说具有一定的取证价值,
9、可以从中找到犯罪嫌疑人可能之前运行了哪些程序以及运行的时间等等,帮助计算机犯罪侦查人员找到一些线索。翻开“c:windowsprefetch文件夹,从图1可以看到目前文件夹中只有“layout.ini和“NTOSBOOT- B00DFAAD.pf两个文件。当运行其他应用程序时,该文件夹没有产生其他文件,即没有对用户应用程序的预读记录。在“开始/“运行中输入“Regedit翻开注册表,在注册表中将“HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters中
10、将“EnablePrefetcher的DWORD值由2改设置为3,这样系统将不仅预读取Windows系统文件,还有用户运行的应用程序。接着启动运行一些应用程序之后,再翻开“c:windows prefetch文件夹,文件夹中的具体内容如图2所示:在图中可以看到在该文件夹中增加了5个pf文件,分别为“Explorer.exe-082F38A9.pf、“Iexploer.exe-27122324.pf、“Winword.exe-37F6AE09.PF、“360TRAY.EXE-398CD0E3.PF以及“Powepoint.exe-2f940E7E.pf。从文件名称可以初步知道用户运行了IE浏览器
11、、Word、Powepoint以及360平安卫士实时监控程序等。但是要进一步提取需要的信息,比方这个程序什么时候开启过、开启的次数以及最后一次开启程序的时间等那么要使用一些工具软件进行分析。3 Prefetch文件夹中信息的提取与分析对于Prefetch文件夹中的pf文件可以使用工具软件Prefetch Parser预读取分析器来进行分析。Prefetch Parser是一款可以运行在Windows系统中的免费软件工具。启动Prefetch Parser,翻开程序界面如图3所示。在Prefetch Parser程序开启界面上输入相应的设置。(1)输入prefetch文件夹的路径Director
12、y where Prefetch files are located::输入“c:windowsprefetch。(2)最后生成报告存放的位置Directory to write Reports to:这个存放结果的文件夹可以自行选择或用户创立,比方测试计算机选择在D盘创立一个新的文件夹来存放,路径为“d:my prefetch reports。(3)选择使用计算机运行的Windows版本Windows Version:有两个选择“XP/2003和“vista/win7,测试计算机使用的windowsXP ,应选择“XP/2003。(4)选择输出文件的类型Output Type:这个有四个选择
13、,分别是HTML、CSV、TAB、XML,测试时选择“HTML。然后单击“Parse Prefetch Files按钮,由于输出选择HTML类型,故在IE浏览器窗口中以三个选项卡来呈现分析结果,名称分别是“D:my prefetch reportlayout_ini.html, “prefetch files information,以及“D:my prefetch reportdistinct_path.html。选中第二个选项卡“prefetch files information,如图4所示。从图中可以看到每个PF文件对应的相关信息,比方用户实际运行的程序名称Actual File Na
14、me、运行的次数Number Times Run以及最后一次运行的时间UTC time。这些信息对于取证人员进一步发现案件线索是很有帮助的。继续单击如第一个文件“360RP.EXE-2500E6E3.pf的超链接,会继续弹出一个新的选项卡,如图5所示。在这个选项卡中可以清楚地看到运行360RP.EXE程序时系统实际加载了哪些文件(有大量的DLL等)以及这些文件所加载的路径。4 结束语在计算机取证过程中,往往在一些不引人注意的地方发现提取的电子证据可能对案件的侦破起着重要的作用。利用一些简单易用的分析软件对Prefetch文件夹中的pf文件进行提取分析,从中发现犯罪嫌疑人在使用计算机运行应用程序时留下的蛛丝马迹。参考文献1 陈龙等.计算机取证技术M.武汉大学出版社,2022年,193.2 Prefetch,/en-us/magazine/cc302206.aspx.作者简介:李艳1976-;女,讲师,硕士;研究方向:信息平安。