https://s3-us-west-2.amazonaws.com/secure.notion-static.com/3a545ffe-d147-49cd-a9d6-58ecfe14256b/Untitled.png

1. What is the name of the most executed program and how many times it was run?

1번 문제를 확인해 보면 가장 많이 실행한 프로그램과 얼마나 실행을 했는지 확인하는 문제이다.

해당 ad1 파일 내부에 Windows\Prefetch 밖에 없기 때문에 Export 해서 WinPrefetchView 툴을 이용해서 문제를 해결해 보겠다.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/d0f8363c-61fe-48b1-80f0-2455b8ff8cf4/1.png

실행 횟수가 큰 파일을 찾는 문제 이기 때문에 실행 횟수로 정렬해본 결과 위와같이 가장 많이 실행된 횟수는 75이다.

프로세스 EXE : 실행 횟수 CHROME.EXE - 75번

2. What is the full path of the last program executed?

가장 마지막으로 실행된 프로그램의 전체 경로를 찾는 문제이다. 마지막 실행 시간을 정렬해서 확인해 보면 아래와 같다.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/40943306-3345-4f2e-8747-c9b414c34197/2.png

WMIADAP.EXE 프로세스가 가장 마지막에 실행된 프로그램 이기 때문에 WMIADAP.EXE의 전체 경로를 찾아보면 아래와 같다.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/8ad5249a-3662-490c-bb5a-7ad7719397e2/3.png

Full Path : \VOLUME{01d4de07837f46e5-86839005}\WINDOWS\SYSTEM32\WBEM\WMIADAP.EXE

3. List all PDF Files opened with Acrobat Reader.

프리패치 파일을 확인해 보면 Acrobat Reader 툴이 생성한 프리패치 파일은 총 2개가 존재 한다.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/779f46b4-1d9e-4018-bb03-975e1755b403/4.png

ACRORD32.EXE-41B0A0C7.pf 와 ACRORD32.EXE-41B0A0C8.pf 파일이 존재 한다. 하지만 실행된 파일은 ACRORD32.EXE-41B0A0C8.pf 에만 기록 되어 있다.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/582e2c7e-f16b-4ebc-9f34-6fa52bdd09d6/5.png

위와 같이 .PDF 파일이 존재 한다. List로 작성해 보면 아래와 같다.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/f62854a0-4db6-4662-8abe-53af9dada4ad/Untitled.png

4. List all files that were extracted with 7zip

7ZIP에 대한 Prefetch 파일은 7ZG.EXE-D9AA3A0B.pf 파일입니다. 7zip으로 추출한 파일을 찾기위해서는 7ZG.EXE-D9AA3A0B.pf에 적혀있는 FileLoad 데이터들을 분석 해야합니다.

FileLoad 데이터를 확인해 보면 아래와 같습니다.