» Biz prefetch analizini yapmak için PECmd isimli aracı kullanacağız. Öncelikle buraya tıklayarak aracımızın geliştiricisinin sayfasına gidiyoruz. Ve buradan kullanacağımız araç olan PECmd aracının yanındaki sürüm bilgisine tıklıyoruz. Aracımız indirilmeye başlayacaktır.
» İndirilme işlemi bittikten sonra komut istemini yani CMD'yi açıyoruz. Ve CMD'den aracımızın bulunduğu dizine giriyoruz.
» Burada aşağıdaki komutu çalıştırarak masaüstüne bir sonuç dosyasının oluşturulmasını sağlıyoruz.
Kod:
PECmd.exe -d C:\Windows\prefetch > C:\Users\\Desktop\output.txt
» Sonuç dosyamız masaüstüne oluşturuluyor. Bu dosyayı açtığımızda bize bütün prefetch kayıt dosyaları hakkında bazı bilgiler veriyor. Bu bilgiler uygulamanın ismi, ne zaman oluşturulduğu, hash değeri, dosya boyutu, ne kadar çalıştırıldığı, en son ne zaman çalıştırıldığı ve hangi DLL ve dosyalara başvurduğu gibi bilgilerdir.
» Şimdi ilk başta size gösterdiğim notepad.exe dosyasının prefetch kaydını inceleyelim. Burada görüldüğü gibi uygulama 2020-06-25 16:48:44 tarihinde oluşturulmuş. Uygulamanın ismi NOTEPAD.EXE imiş. Uygulamanın hash değeri D8414F97 imiş. Ve uygulama 108.982 baytlık yer kaplıyormuş. En son 2020-10-17 16:43:09 tarihinde çalıştırılmış. Ve oluşturulduğundan bu zamana kadar 208 defa çalıştırılmış.
» Biraz aşağıya inersek uygulamanın 29 farklı klasörden ve 46 farklı dosyadan referans aldığını görüyoruz. İşte bu şekilde kullanıcının yüklenen programlar ile olan ilişkilerini basitçe analiz edebiliriz.