Prefetch-Dateien
Was ist Prefetch-Dateien?
Prefetch-DateienWindows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
Prefetch ist eine Windows-Performance-Optimierung, die fuer die ersten zehn Sekunden eines Programmstarts protokolliert, welche Dateien und Verzeichnisse beruehrt werden. Die zugehoerige .pf-Datei (Schema EXECUTABLE-HASH.pf) liegt in C:\Windows\Prefetch und enthaelt den urspruenglichen Pfad, die Ausfuehrungsanzahl, die letzten acht Ausfuehrungszeitpunkte (Windows 8+) und eine Liste referenzierter Dateien und Volumes. Forensiker nutzen Prefetch, um Programmausfuehrung nachzuweisen, geloeschte Binaries namentlich zu rekonstruieren, Timelines zu bauen und auffaellige Aufrufe aus temp- oder AppData-Pfaden zu erkennen. Auf Windows Server und einigen SSD-Konfigurationen ist Prefetch standardmaessig deaktiviert, sodass auch sein Fehlen ein Hinweis ist. PECmd ist der Standard-Parser.
● Beispiele
- 01
Nachweis der Ausfuehrung einer geloeschten Ransomware-EXE durch Auswertung von C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf.
- 02
Erkennung von LOLBin-Missbrauch, wenn wmic.exe oder rundll32.exe ungewoehnlich oft laufen und Nicht-Systempfade referenzieren.
● Häufige Fragen
Was ist Prefetch-Dateien?
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Prefetch-Dateien?
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
Wie funktioniert Prefetch-Dateien?
Prefetch ist eine Windows-Performance-Optimierung, die fuer die ersten zehn Sekunden eines Programmstarts protokolliert, welche Dateien und Verzeichnisse beruehrt werden. Die zugehoerige .pf-Datei (Schema EXECUTABLE-HASH.pf) liegt in C:\Windows\Prefetch und enthaelt den urspruenglichen Pfad, die Ausfuehrungsanzahl, die letzten acht Ausfuehrungszeitpunkte (Windows 8+) und eine Liste referenzierter Dateien und Volumes. Forensiker nutzen Prefetch, um Programmausfuehrung nachzuweisen, geloeschte Binaries namentlich zu rekonstruieren, Timelines zu bauen und auffaellige Aufrufe aus temp- oder AppData-Pfaden zu erkennen. Auf Windows Server und einigen SSD-Konfigurationen ist Prefetch standardmaessig deaktiviert, sodass auch sein Fehlen ein Hinweis ist. PECmd ist der Standard-Parser.
Wie schützt man sich gegen Prefetch-Dateien?
Schutzmaßnahmen gegen Prefetch-Dateien kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Prefetch-Dateien?
Übliche alternative Bezeichnungen: .pf-Dateien, Windows Prefetch.
● Verwandte Begriffe
- forensics-ir№ 043
Amcache.hve
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Windows-Registry-Wert, der Metadaten zu Executables fuer Anwendungs-Kompatibilitaetspruefungen speichert; historisch als Ausfuehrungsnachweis genutzt, mit wichtigen Interpretationseinschraenkungen.
- forensics-ir№ 677
MFT (Master File Table)
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
- forensics-ir№ 001
$UsnJrnl ($J)
Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.
- forensics-ir№ 568
Jump Lists
Anwendungsbezogene Verlaufsdateien, indiziert ueber Windows-AppIDs, die die zuletzt genutzten Dateien und Aufgaben eines Nutzers festhalten und Dateizugriffe einem konkreten Programm zuordnen.
● Siehe auch
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys