Manipulating and generating Windows 10 prefetch files

Abstract

Η μορφή αρχείου prefetch δεν τεκμηριώνεται επισήμως από τη Microsoft και έχει γίνει κατανοητή με αντίστροφη μηχανική ή δοκιμασία και σφάλμα. Χωρίς κάποια πρόθεση, τα αρχεία prefetch, μπορούν μερικές φορές να απαντήσουν στα ζωτικά ερωτήματα της εγκληματικής ανάλυσης: ποιος, τι, πότε, πού, γιατί, και μερικές φορές ακόμη και πώς. Ακόμη και αν έχουν σχεδιαστεί για να επιταχύνουν τους χρόνους ανάγνωσης του δίσκου του συστήματος, μπορούν επίσης να χρησιμοποιηθούν για μια πιο αποτελεσματική μεταμφίεση εισβολής ή για την αύξηση της επιφάνειας επίθεσης του λειτουργικού συστήματος. Όταν εκκινείται ένα σύστημα Windows, τα στοιχεία πολλών αρχείων πρέπει να φορτωθούν στη μνήμη και να υποστούν επεξεργασία. Δεδομένου ότι από τα Windows 10, τα αρχεία prefetch δεν είναι πλέον καθαρό κείμενο, αλλά αντί αυτού είναι συμπιεσμένα. Τώρα όμως γνωρίζουμε ότι ένας εισβολέας μπορεί να συμπιέσει ξανά αρχεία prefetch και να τα χειριστεί κρύβοντας ή προσθέτοντας καταχωρήσεις στα αρχεία.