预取解析 - 未知卷磁盘
Prefetch parsing - unknown volume disk
我使用库来解析预取文件。
https://github.com/EricZimmerman/Prefetch
文件的输出路径有问题。由于某种原因,给出了一个未知的磁盘。下面的屏幕截图显示了我的磁盘,在输出中,预取产生(示例):
\VOLUME{01d3da29987eda86-8a98b829}\WINDOWS\SYSTEM32\AUDIODG.EXE
cmd > mountvol
示例:
var pf = PrefetchFile.Open(@"C:\Windows\Prefetch\AUDIODG.EXE-5FB9CF9A.pf");
if (!String.IsNullOrWhiteSpace(pf.ToString()))
{
var sb = new StringBuilder();
string name = @pf.Header.ExecutableFilename.ToString();
string ext = Path.GetExtension(name);
var listpathes = pf.Filenames.Where(word => word.IndexOf(ext, StringComparison.InvariantCultureIgnoreCase) >= 0).ToList();
//var result = String.Join(", ", listpathes.ToArray());
FileInfo pfdate = new FileInfo(f.FullName);
string sourcefilename = pf.SourceFilename.ToString();
//sb.AppendLine(result + Environment.NewLine); //paths list to all related dll and others ??????????????
sb.AppendLine(listpathes[0] + Environment.NewLine); // path ????????????
sb.AppendLine(pfdate.LastWriteTime + Environment.NewLine); //last write date
sb.AppendLine(sourcefilename + Environment.NewLine); //name
sb.AppendLine(ext + Environment.NewLine); // *.exe
MessageBox.Show(sb.ToString());
}
这个卷id是从哪里来的?
或者如何获取文件的真实路径?
您好,我是您正在使用的 Prefetch 解析器的作者。
应该在挂载设备和挂载点中。这是存储卷 guid
所执行文件的完整路径在文件引用集合中。
从命令行使用 pecmd 转储一个 pf 文件,然后查找黄色的文件条目
这是完整路径
我使用库来解析预取文件。 https://github.com/EricZimmerman/Prefetch 文件的输出路径有问题。由于某种原因,给出了一个未知的磁盘。下面的屏幕截图显示了我的磁盘,在输出中,预取产生(示例):
\VOLUME{01d3da29987eda86-8a98b829}\WINDOWS\SYSTEM32\AUDIODG.EXE
cmd > mountvol
示例:
var pf = PrefetchFile.Open(@"C:\Windows\Prefetch\AUDIODG.EXE-5FB9CF9A.pf");
if (!String.IsNullOrWhiteSpace(pf.ToString()))
{
var sb = new StringBuilder();
string name = @pf.Header.ExecutableFilename.ToString();
string ext = Path.GetExtension(name);
var listpathes = pf.Filenames.Where(word => word.IndexOf(ext, StringComparison.InvariantCultureIgnoreCase) >= 0).ToList();
//var result = String.Join(", ", listpathes.ToArray());
FileInfo pfdate = new FileInfo(f.FullName);
string sourcefilename = pf.SourceFilename.ToString();
//sb.AppendLine(result + Environment.NewLine); //paths list to all related dll and others ??????????????
sb.AppendLine(listpathes[0] + Environment.NewLine); // path ????????????
sb.AppendLine(pfdate.LastWriteTime + Environment.NewLine); //last write date
sb.AppendLine(sourcefilename + Environment.NewLine); //name
sb.AppendLine(ext + Environment.NewLine); // *.exe
MessageBox.Show(sb.ToString());
}
这个卷id是从哪里来的? 或者如何获取文件的真实路径?
您好,我是您正在使用的 Prefetch 解析器的作者。
应该在挂载设备和挂载点中。这是存储卷 guid
所执行文件的完整路径在文件引用集合中。
从命令行使用 pecmd 转储一个 pf 文件,然后查找黄色的文件条目
这是完整路径