Windows系统下Prefetch文件取证方法初探
2022-04-22 16:47:24   来源：    点击：

摘 要 ：在电子数据取证中对痕迹的提取和分析是非常重要的一项工作，通过对应用程序运行痕迹的提取，可以分析出用户的行为特征，对计算机取证具有重要的意义。Prefetch（简称PF）是微软Windows操作系统用来存放系统预读信息的一种文件，该文件中包含可执行文件的名称、所调用DLL文件列表（Unicode）、路径、运行次数和最后一次运行时间等信息。由于PF文件格式没有官方的文档描述，在不同Windows系统下结构也有区别，而且国内目前对Windows 10下压缩型PF文件的研究较少。文章主要研究了Windows操作系统下的几种PF文件格式，提出了一种针对Prefetch文件取证的方法，通过提取并分析应用程序的运行痕迹，为案件的侦破提供重要的线索。