Windows Prefetch Artifact

Windows에는 다양한 아티팩트가 생성된다.

프로그램을 실행했을 때 생성되는 아티팩트, 컴퓨터를 부팅했을 때 생기는 아티팩트들도 존재한다. 사용자의 행적을 찾기 위해서는 사용자가 어떤 프로그램을 사용했는지에 대한 흔적을 찾는 것은 중요하다. 레지스트리의 Amcache도 있을거고, LNK 파일, JumpList 등 다양한 아티팩트에서 행적들을 찾을 수 있는데 오늘 여기서는 Prefetch 파일을 다뤄보려고 한다.

 

https://weasley-forensics.notion.site/Windows-Prefetch-c629bd6f4a9b4708a938a5689a82f9a0?pvs=4