Archivos Prefetch
¿Qué es Archivos Prefetch?
Archivos PrefetchArchivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
Prefetch es una optimizacion de rendimiento de Windows que registra que archivos y directorios toca un ejecutable durante sus primeros diez segundos de ejecucion. El archivo .pf resultante (con nombre EJECUTABLE-HASH.pf) se guarda en C:\Windows\Prefetch y contiene la ruta original, el numero de ejecuciones, las ultimas ocho marcas temporales (Windows 8+) y la lista de archivos y volumenes referenciados. Los forenses lo utilizan para probar la ejecucion de programas, recuperar nombres de binarios borrados, construir lineas de tiempo y detectar binarios sospechosos lanzados desde temp o AppData. Prefetch suele estar deshabilitado en Windows Server y, en ciertas configuraciones con SSD, por lo que su ausencia tambien es relevante. PECmd es el parser de referencia.
● Ejemplos
- 01
Confirmar la ejecucion de un ransomware ya borrado parseando C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf.
- 02
Detectar abuso de LOLBins cuando wmic.exe o rundll32.exe presentan ejecuciones inusuales y referencias a rutas no estandar.
● Preguntas frecuentes
¿Qué es Archivos Prefetch?
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Archivos Prefetch?
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
¿Cómo funciona Archivos Prefetch?
Prefetch es una optimizacion de rendimiento de Windows que registra que archivos y directorios toca un ejecutable durante sus primeros diez segundos de ejecucion. El archivo .pf resultante (con nombre EJECUTABLE-HASH.pf) se guarda en C:\Windows\Prefetch y contiene la ruta original, el numero de ejecuciones, las ultimas ocho marcas temporales (Windows 8+) y la lista de archivos y volumenes referenciados. Los forenses lo utilizan para probar la ejecucion de programas, recuperar nombres de binarios borrados, construir lineas de tiempo y detectar binarios sospechosos lanzados desde temp o AppData. Prefetch suele estar deshabilitado en Windows Server y, en ciertas configuraciones con SSD, por lo que su ausencia tambien es relevante. PECmd es el parser de referencia.
¿Cómo defenderse de Archivos Prefetch?
Las defensas contra Archivos Prefetch combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Archivos Prefetch?
Nombres alternativos comunes: Archivos .pf, Prefetch de Windows.
● Términos relacionados
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valor del registro de Windows que guarda metadatos de ejecutables para comprobaciones de compatibilidad; usado historicamente como evidencia de ejecucion, con importantes matices de interpretacion.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.
- forensics-ir№ 568
Jump Lists
Archivos de historial por aplicacion identificados por el AppID de Windows que guardan los archivos y tareas recientes de un usuario, una prueba solida de acceso a archivos ligada a un programa concreto.
● Véase también
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys