Archivos Prefetch
¿Qué es Archivos Prefetch?
Archivos PrefetchArchivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
Prefetch es una optimizacion de rendimiento de Windows que registra que archivos y directorios toca un ejecutable durante sus primeros diez segundos de ejecucion. El archivo .pf resultante (con nombre EJECUTABLE-HASH.pf) se guarda en C:\Windows\Prefetch y contiene la ruta original, el numero de ejecuciones, las ultimas ocho marcas temporales (Windows 8+) y la lista de archivos y volumenes referenciados. Los forenses lo utilizan para probar la ejecucion de programas, recuperar nombres de binarios borrados, construir lineas de tiempo y detectar binarios sospechosos lanzados desde temp o AppData. Prefetch suele estar deshabilitado en Windows Server y, en ciertas configuraciones con SSD, por lo que su ausencia tambien es relevante. PECmd es el parser de referencia.
● Ejemplos
- 01
Confirmar la ejecucion de un ransomware ya borrado parseando C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf.
- 02
Detectar abuso de LOLBins cuando wmic.exe o rundll32.exe presentan ejecuciones inusuales y referencias a rutas no estandar.
● Preguntas frecuentes
¿Qué es Archivos Prefetch?
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Archivos Prefetch?
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
¿Cómo defenderse de Archivos Prefetch?
Las defensas contra Archivos Prefetch combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Archivos Prefetch?
Nombres alternativos comunes: Archivos .pf, Prefetch de Windows.