Windows işletim sisteminde, programların daha hızlı başlatılmasına yardımcı olmak için tasarlanmış “Prefetch” mekanizması, adli bilişim uzmanları için bir altın madeni niteliğindedir. Prefetch klasöründe yer alan dosyalar, sistemde hangi uygulamaların ne zaman ve kaç kez çalıştırıldığı gibi kritik bilgileri içerir. Bu blog yazısında, Eric Zimmerman tarafından geliştirilen PECmd aracının kullanımını detaylı bir şekilde inceleyeceğiz.
Windows Prefetch Dosyaları Nedir?
Windows işletim sistemi, sık kullanılan uygulamaların başlatılması sırasında gerekli olan dosyaları önbelleğe alarak sistemin performansını artırmak için Prefetch mekanizmasını kullanır. Bu mekanizma, `C:\Windows\Prefetch` klasöründe `.pf` uzantılı dosyalar oluşturur. Bu dosyalar şu isimlendirme kuralını takip eder:
UYGULAMA_ADI-HASH.pf
Örneğin: `NOTEPAD++.EXE-72ABB319.pf`
Her Prefetch dosyası şu bilgileri içerir:
– Uygulamanın tam yolu
– Uygulamanın son çalıştırılma zamanı
– Uygulama kaç kez çalıştırıldı
– Uygulama çalıştırıldığında hangi dosyalara erişildi
– Çeşitli zaman damgaları
Eric Zimmerman’ın PECmd Aracı
Eric Zimmerman’ın geliştirdiği PECmd, Windows Prefetch dosyalarını analiz etmek için tasarlanmış güçlü bir komut satırı aracıdır. Bu araç, Windows XP’den Windows 11’e kadar tüm Windows sürümleri için oluşturulan Prefetch dosyalarını analiz edebilir.
PECmd’nin Özellikleri
– Tek bir Prefetch dosyasını veya bir klasördeki tüm Prefetch dosyalarını analiz edebilir
– CSV, JSON veya HTML formatında çıktı üretebilir
– Belirli anahtar kelimeleri vurgulayabilir
– Prefetch dosyasının içeriğini ayrıntılı olarak gösterebilir
– Windows 10/11’de kullanılan sıkıştırılmış MAM formatındaki Prefetch dosyalarını açabilir
– Volume Shadow Copy’lerden (VSS) Prefetch dosyalarını inceleyebilir
PECmd Kullanım Örnekleri
Tek Bir Prefetch Dosyasını Analiz Etme
PECmd.exe -f “C:\Windows\Prefetch\NOTEPAD++.EXE-72ABB319.pf”
Bu komut, belirtilen Notepad++ Prefetch dosyasını analiz eder ve sonuçları ekranda gösterir.
JSON Formatında Çıktı Alma
PECmd.exe -f “C:\Windows\Prefetch\NOTEPAD++.EXE-72ABB319.pf” –json “C:\Forensics\Output”
Bu komut, analiz sonuçlarını JSON formatında belirtilen klasöre kaydeder.
CSV Formatında Çıktı Alma
PECmd.exe -f “C:\Windows\Prefetch\NOTEPAD++.EXE-72ABB319.pf” –csv “C:\Forensics\Output”
Bu komut, analiz sonuçlarını CSV formatında belirtilen klasöre kaydeder.
Özel Dosya Adıyla Çıktı Alma
PECmd.exe -f “C:\Windows\Prefetch\NOTEPAD++.EXE-72ABB319.pf” –csv “C:\Forensics\Output” –csvf “notepad_analiz.csv”
Bu komut, CSV çıktısını özel bir dosya adıyla kaydeder.
Belirli Anahtar Kelimeleri Vurgulama
PECmd.exe -f “C:\Windows\Prefetch\NOTEPAD++.EXE-72ABB319.pf” -k “gizli,şifreli,önemli”
Bu komut, çıktıda belirtilen anahtar kelimeleri vurgular. Varsayılan olarak “temp” ve “tmp” kelimeleri zaten vurgulanır.
Prefetch Dosyasını Çıkarma
PECmd.exe -f “C:\Windows\Prefetch\NOTEPAD++.EXE-72ABB319.pf” -o “C:\Forensics\Extracted”
Bu komut, Prefetch dosyasının içeriğini belirtilen klasöre çıkarır. Özellikle Windows 10/11’de sıkıştırılmış MAM formatındaki dosyaları incelemek için faydalıdır.
Tüm Prefetch Klasörünü Analiz Etme
PECmd.exe -d “C:\Windows\Prefetch”
Bu komut, Prefetch klasöründeki tüm dosyaları analiz eder.
Volume Shadow Copy’leri İnceleme
PECmd.exe -d “C:\Windows\Prefetch” –vss
Bu komut, hem normal Prefetch klasörünü hem de Volume Shadow Copy’lerdeki Prefetch dosyalarını analiz eder.
PECmd Çıktısında Ne Tür Bilgiler Bulunur?
PECmd çıktısı genellikle şu bilgileri içerir:
1. Dosya Bilgileri:
– Dosya adı ve yolu
– Dosya boyutu
– Dosya hash değeri
2. Uygulama Bilgileri:
– Uygulama tam yolu
– Çalıştırma sayısı
– Son çalıştırma zamanı
3. Erişilen Dosyalar:
– Uygulama çalıştırıldığında erişilen tüm dosyaların listesi
– Bu dosyaların tam yolları
4. Zaman Damgaları:
– Oluşturulma zamanı
– Son değiştirilme zamanı
– Son erişim zamanı
Adli Bilişim Soruşturmalarında PECmd Kullanımı
Adli bilişim soruşturmalarında PECmd aracı şu durumlarda özellikle faydalıdır:
1. Kullanıcı Aktivitelerinin Tespiti: Hangi programların ne zaman çalıştırıldığını belirlemek için kullanılabilir.
2. Anti-Forensics Tekniklerinin Tespiti: Prefetch dosyaları silinmiş olsa bile, VSS üzerinden erişilebilir.
3. Zararlı Yazılım Analizi: Şüpheli bir uygulamanın çalıştırılması sırasında hangi dosyalara eriştiğini belirlemek için kullanılabilir.
4. Sistem Kullanım Alışkanlıklarının Tespiti: Kullanıcının hangi programları sık kullandığını belirlemek için kullanılabilir.
5. Zaman Çizelgesi Oluşturma: Bir olayın tam zamanını belirlemek için diğer adli bilişim verileriyle birlikte kullanılabilir.
Sonuç
Windows Prefetch dosyaları, adli bilişim soruşturmalarında değerli bilgiler sağlar. Eric Zimmerman’ın PECmd aracı, bu dosyaları analiz etmek için güçlü ve esnek bir çözüm sunar. Doğru komutları kullanarak, bir sistemde hangi uygulamaların ne zaman ve nasıl kullanıldığı hakkında kritik bilgiler elde edebilirsiniz.
Bu blog yazısında PECmd aracının temel kullanımını ve özelliklerini inceledik. Adli bilişim analizi yaparken, bu aracı diğer araçlarla birlikte kullanarak daha kapsamlı sonuçlar elde edebilirsiniz.
—
Not: Bu yazıda yer alan komutları kendi sistemlerinizde denemeden önce, uygun yetkilere sahip olduğunuzdan ve analiz ettiğiniz sistemlerin kanıt bütünlüğünü koruduğunuzdan emin olun.
