
198
第1部 ハッキング・ラボの構築
3-18
Prefetch機能を有効にする
Windowsでは、Prefetch機能が有効になっていると、一度実行したプログラム
が再び利用されることを想定して、そのデータをあらかじめメモリ上に読み込み
ます。プログラムの実行を高速化にするためのキャッシュといえます。
このPrefetch機能は、キャッシュという観点だけでなく、セキュリティの観点
からも有効です。もしPC に侵入されたとしても、侵入者の操作の痕跡がPrefetch
ファイルに残る可能性があるからです。実行した記憶がないプログラムがあった
り、不自然な時間に管理ツールが実行されていたりすれば、侵入された恐れがあ
ると推測できます。Windows Vista 以降は、さらに機能を向上させた SuperFetch
が採用されています。
"%SystemRoot%¥Prefetch" フォルダーにある Prefetch ファイル(.pfという拡
張子)があれば、そのファイル名のプログラムが少なくとも1度は実行されたこと
を意味します。逆に、このフォルダーを確認して何もなければ、機能が無効になっ
ている可能性があります。
例 え ば、WinPrefetchView(http://www.nirsoft.net/utils/win_prefetch_view.
html)というツールを使うと、Prefetchファイルを解析して、「起動したアプリ名」
「最終起動日時」「起動回数」「読み込んだファイルのパス」