슈퍼패치?? 프리패치?? 김태홍 (hong) rlaxoghd2814@naver.com.

Presentation on theme: "슈퍼패치?? 프리패치?? 김태홍 (hong) rlaxoghd2814@naver.com."— Presentation transcript:

1 슈퍼패치?? 프리패치?? 김태홍 (hong)

2 0x00 Prefetch? 윈도우 xp(2003, vista, 2008, 7, 8, 8.1)의 운영체제에서 제공하는 메모리 관리 정책으로, 애플리케이션 실행 혹은 부팅시 속도 향상을 위해 개발 되었다. 프리패치 경로 %SystemRoot%Prefetch

3 0x01 Prefetch Signature & Format Version
Value Windows Version 17(0x11) Windows xp, Windows 2003 23(0x17) Windows Vista, Windows 7 26(0x1a) Windows 8.1

4 0x02 실행 파일명 & 파일 절대 경로 해쉬값 0x03 실행 되어져야 하는 프로그램 수

5 0x03 메모리에 올려야할 파일들의 목록이 있는 곳의 offset 값
Little Endian c D8

6 0x04 메모리에 올라와야 할 파일들의 총 길이 c D D8

7 0x04 Volume Information Block
1) 2) 3) 4) 1) MetadataInfoOffset B0 2) NumMetadataRecords

8 0x04 Volume Information Block
1) 2) 3) 3) MetadataInfoSize 30:E5:A3:4E:01:D0:57:02 Thu, 05 March :06:

9 프리패치 파해 치기 어플리케이션 프리패치 부팅 프리패치 프리패처 애플리케이션 운영체제 프리패처

10 마지막으로 부팅 시 접근한 모든 파일과 폴더

11 애플리케이션 프리패치 파일 생성

12 애플리케이션 프리패치 파일 응용 방안

13 애플리케이션 프리패치 파일 응용 방안

14 프리패치 파일 설정 레벨 0 : 비활성화 레벨 1 : 응용프로그램 프리패칭만 사용 레벨 2 : 부트 프리패칭만 사용
레벨 3 (기본) : 응용/부트 프리패칭 모두 사용

15 슈퍼 패치의 등장? 슈퍼 패치 파일 경로 : %SystemRoot%Prefetch

16 슈퍼 패치의 등장? 슈퍼 패치 파일 구조 파일명 : Ag 접두어, .유 확장자 TRX 파일 AgAppLaunch.db
압축 vs 비압축 AgAppLaunch.db AgRobust.db AgCx_SC[number].db AgGIFaultHistory.db AgGIFgAppHistory.db AgGIGlobalHistory.db AgGIUAD_P_[SID].db AgGIUAD_[SID].db LongTemHist.db

17 슈퍼 패치 파일 분석

18 슈퍼 패치의 활용 방안? 사용자 컴퓨터 사용 패턴 분석에 용이 할 것으로 예상 악성코드가 언제쯤 동작 했을 것으로 추정 가능
The timeframes of application activity fall into the following ranges: Weekday 6AM to 12PM Weekday 12PM to 6PM Weekday 6PM to 12AM Weekday Global Weekend 6AM to 12PM Weekend 12PM to 6PM Weekend 6PM to 12AM Weekend Global

19 슈퍼 패치의 활용 방안? 백그라운드에서 동작을 한 횟수도 포함되는 것으로 보임