Analisi della cache prefetch di Windows XP: considerazioni e strumenti

Windows XP/2003 possiedono una caratteristica integrata chiamata "Prefetch cache" utilizzata per accelerare i processi durante il boot e l'esecuzione delle applicazioni.

Tale caratteristica può rivelarsi utile durante un indagine di natura forense che coinvolga sistemi di questo tipo ed i suoi parametri di funzionamento vengono controllati mediante la seguente chiave del registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameter

La cache è organizzata in una cartella chiamata Prefetch, residente all'interno della %windir% e contenente un numero variabile di file (fino a 128) con estensione .pf.
Ogni volta che una applicazione viene mandata in esecuzione il sistema aggiorna o crea la corrispondente entry nella cartella citata.

Ognuno di questi file contiene delle stringhe in formato Unicode che possono fare riferimento ai vari moduli acceduti durante l'esecuzione dell'applicazione.
Inoltre, cosa altrettanto importante, ogni file memorizza un contatore che indica il numero di volte in cui l'applicazione è stata eseguita ed un valore temporale a 64 bit (formato UTC) che esprime la data della più recente esecuzione dell'applicazione (aprendo il file con un qualsiasi editor esadecimale è possibile rinvenire l'informazione del primo tipo all'offset 144 e quella del secondo tipo all'offset 120).

L'analisi di queste informazioni può dunque essere utile per desumere preziose informazioni circa l'esecuzione di particolari attività nel sistema in un dato momento temporale.
Purtroppo però il mantenimento di tali file non avviene su base utente ma globalmente a livello di sistema per cui è necessario che i dati così riscontrati siano messi in correlazione con altre informazioni del sistema stesso.

In ogni caso per agevolare il recupero ed il repertamento di tali informazioni possiamo usare un tool, gratuito per uso privato e commerciale, chiamato Windows File Analyzer, disponibile all'indirizzo http://www.mitec.cz/wfa.html.

Si tratta di una applicazione sviluppata per l'analisi e la decodifica di alcuni file speciali utilizzati dai sistemi Windows tra i quali, appunto, i file prefetch di cui vengono visualizzate le informazioni relative all'applicazione, alla data di creazione, alla data di ultimo accesso, al numero di esecuzioni.
Per ciascun file viene inoltre calcolato l'hash MD5 ed è possibile produrre un report della lista.

0 commenti: