Arquivos Prefetch
O que é Arquivos Prefetch?
Arquivos PrefetchArquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
O Prefetch e uma otimizacao de desempenho do Windows que registra quais arquivos e diretorios um executavel toca durante seus primeiros dez segundos de execucao. O arquivo .pf resultante (chamado EXECUTAVEL-HASH.pf) fica em C:\Windows\Prefetch e contem o caminho original, a contagem de execucoes, os ultimos oito carimbos de tempo (Windows 8+) e a lista de arquivos e volumes referenciados. Analistas forenses usam o Prefetch para comprovar execucao, recuperar nomes de binarios apagados, montar linhas do tempo e identificar binarios suspeitos lancados a partir de temp ou AppData. O Prefetch e desativado por padrao no Windows Server e em algumas configuracoes SSD, portanto sua ausencia tambem e um dado relevante. O PECmd e o parser de referencia.
● Exemplos
- 01
Confirmar a execucao de um ransomware ja removido parseando C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf.
- 02
Identificar abuso de LOLBins quando wmic.exe ou rundll32.exe apresentam contagens anormais e referenciam caminhos nao padrao.
● Perguntas frequentes
O que é Arquivos Prefetch?
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Arquivos Prefetch?
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
Como se defender contra Arquivos Prefetch?
As defesas contra Arquivos Prefetch costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Arquivos Prefetch?
Nomes alternativos comuns: Arquivos .pf, Prefetch do Windows.