Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 850

Prefetch ファイル

Prefetch ファイル とは何ですか?

Prefetch ファイルC:\Windows\Prefetch に置かれる Windows の .pf ファイル。プロセスの起動情報を記録し、実行ファイルがシステムで動作した強力な証拠となる。

Prefetch は Windows のパフォーマンス最適化機能で、実行ファイル起動後の最初の 10 秒間にアクセスしたファイルとディレクトリを記録します。生成される .pf ファイル(命名規則は EXECUTABLE-HASH.pf)は C:\Windows\Prefetch に保存され、元の実行パス、実行回数、直近 8 回の実行タイムスタンプ (Windows 8 以降)、参照したファイルとボリュームの一覧を保持します。フォレンジック担当者は Prefetch を用いて、プログラムの実行を立証し、削除済みバイナリの名前を復元し、タイムラインを構築し、temp や AppData から実行された不審なバイナリを発見します。Windows Server および一部の SSD 構成では既定で無効化されているため、Prefetch が「存在しないこと」自体が観察事項となります。PECmd が標準的なパーサーです。

  1. 01

    削除済みランサムウェア EXE の実行を C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf の解析で立証する。

  2. 02

    wmic.exe や rundll32.exe の実行回数が異常で非システム配下のパスを参照している場合に LOLBin 悪用を検出する。

よくある質問

Prefetch ファイル とは何ですか?

C:\Windows\Prefetch に置かれる Windows の .pf ファイル。プロセスの起動情報を記録し、実行ファイルがシステムで動作した強力な証拠となる。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

Prefetch ファイル とはどういう意味ですか?

C:\Windows\Prefetch に置かれる Windows の .pf ファイル。プロセスの起動情報を記録し、実行ファイルがシステムで動作した強力な証拠となる。

Prefetch ファイル はどのように機能しますか?

Prefetch は Windows のパフォーマンス最適化機能で、実行ファイル起動後の最初の 10 秒間にアクセスしたファイルとディレクトリを記録します。生成される .pf ファイル(命名規則は EXECUTABLE-HASH.pf)は C:\Windows\Prefetch に保存され、元の実行パス、実行回数、直近 8 回の実行タイムスタンプ (Windows 8 以降)、参照したファイルとボリュームの一覧を保持します。フォレンジック担当者は Prefetch を用いて、プログラムの実行を立証し、削除済みバイナリの名前を復元し、タイムラインを構築し、temp や AppData から実行された不審なバイナリを発見します。Windows Server および一部の SSD 構成では既定で無効化されているため、Prefetch が「存在しないこと」自体が観察事項となります。PECmd が標準的なパーサーです。

Prefetch ファイル からどのように防御しますか?

Prefetch ファイル に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Prefetch ファイル の別名は何ですか?

一般的な別名: .pf ファイル, Windows Prefetch。

関連用語

関連項目