개념 : 부팅시, 어플리케이션 실행시 처리속도를 향상시키기 위한 메모리 파일[프리패쳐]
확장자 : .pf
프리패치 파일 경로 : C:\\Windows\\Prefetch
원리 : 하드디스크의 처리속도가 늦은 단점을 보완해 부팅하거나 어플리케이션 실행을 해야할 때
필요한 파일(.exe, .dll)들을 미리 프리패쳐라는 파일로 미리 만들어 메모리에 로딩해 cpu로 처리하여
실행속도를 향상시키는 방식
분석 목적 : 주로 실행 파일의 실행 여부를 입증하고 찾을 수 없는 정보를 확인하고자 함.
프리패치 종류 :
-1) 부트 프리패치 : 부팅속도를 빠르게 함
-2) 어플리케이션 프리패치 : 부팅시점에 미리 사용하는 자원을 로드해 실행속도를 빠르게 함
파일명 : [실행 파일 명]-[파일 위치에 대한 해쉬].pf
원리 : 메모리가 충분하지 않을 때,하드디스크에서 가상메모리를 이용해 하드디스크 용량을
가상메모리로 사용함으로써 프로그램의 실행 시간 단축을 시킨다.- 리눅스에선 스왑이라고 한다.
사용자의 사용패턴을 기록해 자주 사용하는 프로그램의 프리패치 데이터가 page-out될 경우
이를 다시 메모리로 page-in시켜 성능을 향상
확장자 : .db .trx
경로: C:\\Windows\\Prefetch
슈퍼패치 분석방법 : 프리패치 및 슈퍼패치의 존재여부 확인
-->없는 경우, 의도적으로 삭제한 것인지 판단
슈퍼패치 내용 : 실행 횟수, 실행 프로그램이 메모리에 로드한 파일 등
프리패치 : 컴퓨터\\HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager\\Memory Management\\PrefetchParameters
키 값 의미
0 : 사용x
1 : 응용프로그램 프리패치만 사용
2 : 부트 프리패치만 사용
3 : 응용프로그램/부트 캐싱 모두 사용(기본값)
3. 응용프로그램/부트 캐싱 모두 사용으로 설정되어 있다.
<aside> 💡 위의 파일은 프리패치 분석툴이다 nirosoft-prefetch 툴을 이용해 프리패치 분석을 하자
</aside>
프리패치 툴을 켜서 option 탭에 advanced option을 눌러 프리패치 파일이 있는 경로로 지정해준다.
경로 : C:\\Windows\\Prefetch
여러 프리패치 파일들의 경로 및 실행 파일, 실행 횟수, 최근 실행 시간, 수정 시간 등을 알 수 있다.
파일을 클릭하면 자세한 내용들도 알 수 있으며 notepad를 실행하기 위한 여러 실행 파일들을 알 수 있다.