Arquivos Prefetch
O que é Arquivos Prefetch?
Arquivos PrefetchArquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
O Prefetch e uma otimizacao de desempenho do Windows que registra quais arquivos e diretorios um executavel toca durante seus primeiros dez segundos de execucao. O arquivo .pf resultante (chamado EXECUTAVEL-HASH.pf) fica em C:\Windows\Prefetch e contem o caminho original, a contagem de execucoes, os ultimos oito carimbos de tempo (Windows 8+) e a lista de arquivos e volumes referenciados. Analistas forenses usam o Prefetch para comprovar execucao, recuperar nomes de binarios apagados, montar linhas do tempo e identificar binarios suspeitos lancados a partir de temp ou AppData. O Prefetch e desativado por padrao no Windows Server e em algumas configuracoes SSD, portanto sua ausencia tambem e um dado relevante. O PECmd e o parser de referencia.
● Exemplos
- 01
Confirmar a execucao de um ransomware ja removido parseando C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf.
- 02
Identificar abuso de LOLBins quando wmic.exe ou rundll32.exe apresentam contagens anormais e referenciam caminhos nao padrao.
● Perguntas frequentes
O que é Arquivos Prefetch?
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Arquivos Prefetch?
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
Como funciona Arquivos Prefetch?
O Prefetch e uma otimizacao de desempenho do Windows que registra quais arquivos e diretorios um executavel toca durante seus primeiros dez segundos de execucao. O arquivo .pf resultante (chamado EXECUTAVEL-HASH.pf) fica em C:\Windows\Prefetch e contem o caminho original, a contagem de execucoes, os ultimos oito carimbos de tempo (Windows 8+) e a lista de arquivos e volumes referenciados. Analistas forenses usam o Prefetch para comprovar execucao, recuperar nomes de binarios apagados, montar linhas do tempo e identificar binarios suspeitos lancados a partir de temp ou AppData. O Prefetch e desativado por padrao no Windows Server e em algumas configuracoes SSD, portanto sua ausencia tambem e um dado relevante. O PECmd e o parser de referencia.
Como se defender contra Arquivos Prefetch?
As defesas contra Arquivos Prefetch costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Arquivos Prefetch?
Nomes alternativos comuns: Arquivos .pf, Prefetch do Windows.
● Termos relacionados
- forensics-ir№ 043
Amcache.hve
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valor do registro do Windows que armazena metadados de executaveis para verificacoes de compatibilidade; historicamente usado como prova de execucao, com ressalvas importantes de interpretacao.
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
- forensics-ir№ 568
Jump Lists
Arquivos de historico por aplicativo indexados pelo AppID do Windows que registram os arquivos e tarefas recentes de um usuario, fornecendo prova solida de acesso a arquivo associado a um programa especifico.
● Veja também
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys