| Windows10中Prefetch文件的变化及对取证分析的影响 |
| |
| 引用本文: | 张俊,朱勇宇.Windows10中Prefetch文件的变化及对取证分析的影响[J].警察技术,2021(5):67-70. |
| |
| 作者姓名: | 张俊 朱勇宇 |
| |
| 作者单位: | 湖北警官学院 |
| |
| 基金项目: | 湖北省高校人文社科重点研究基地社会治安治理研究中心项目;电子取证;湖北省协同创新中心项目 |
| |
| 摘 要: | 预读取,是Windows用来提高操作系统和应用程序启动性能的一项重要机制。Windows通过Prefetch文件在系统和应用程序启动前将所需的文件提前缓存到内存中,从而实现这一机制,因此Prefetch文件中记录了大量有关应用程序运行的痕迹,这些痕迹便是宝贵的电子数据证据。相较于其它版本的Prefetch文件,Windows10中Prefetch文件的结构和功能发生了较大的变化,但是其相关的研究和解析工作相对较少。主要针对Windows10中Prefetch文件的结构和功能进行分析,并进一步阐述Prefetch文件在电子数据取证中的重要作用。
|
| 关 键 词: | Prefetch 文件结构 Windows10取证 |
| 本文献已被 CNKI 万方数据 等数据库收录! |
| 点击此处可从《警察技术》浏览原始摘要信息 |
| 点击此处可从《警察技术》下载免费的PDF全文 |
|
