Файлы Prefetch
Что такое Файлы Prefetch?
Файлы PrefetchФайлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
Prefetch — оптимизация производительности Windows, которая записывает, к каким файлам и каталогам исполняемый файл обращается в первые десять секунд работы. Получаемый файл .pf (имя вида EXECUTABLE-HASH.pf) хранится в C:\Windows\Prefetch и содержит исходный путь, счётчик запусков, последние восемь временных меток запусков (Windows 8+), а также список затронутых файлов и томов. Криминалисты используют Prefetch, чтобы доказать факт запуска, восстановить имена удалённых бинарей, выстроить таймлайн и обнаружить подозрительные программы, запущенные из temp или AppData. На Windows Server и в ряде конфигураций с SSD Prefetch отключён по умолчанию, поэтому его отсутствие само по себе говорит о многом. Эталонный парсер — PECmd.
● Примеры
- 01
Подтверждение запуска уже удалённого вымогателя по записи C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf.
- 02
Выявление злоупотребления LOLBin, когда wmic.exe или rundll32.exe имеют аномально большое число запусков и ссылки на нестандартные пути.
● Частые вопросы
Что такое Файлы Prefetch?
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Файлы Prefetch?
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
Как работает Файлы Prefetch?
Prefetch — оптимизация производительности Windows, которая записывает, к каким файлам и каталогам исполняемый файл обращается в первые десять секунд работы. Получаемый файл .pf (имя вида EXECUTABLE-HASH.pf) хранится в C:\Windows\Prefetch и содержит исходный путь, счётчик запусков, последние восемь временных меток запусков (Windows 8+), а также список затронутых файлов и томов. Криминалисты используют Prefetch, чтобы доказать факт запуска, восстановить имена удалённых бинарей, выстроить таймлайн и обнаружить подозрительные программы, запущенные из temp или AppData. На Windows Server и в ряде конфигураций с SSD Prefetch отключён по умолчанию, поэтому его отсутствие само по себе говорит о многом. Эталонный парсер — PECmd.
Как защититься от Файлы Prefetch?
Защита от Файлы Prefetch обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Файлы Prefetch?
Распространённые альтернативные названия: Файлы .pf, Windows Prefetch.
● Связанные термины
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Значение реестра Windows, отслеживающее метаданные исполняемых файлов для проверок совместимости; исторически применялся как доказательство запуска, но требует осторожной интерпретации.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.
- forensics-ir№ 568
Jump List (Списки переходов)
Файлы истории, привязанные к AppID Windows для каждого приложения; фиксируют недавно открытые пользователем файлы и задачи и служат веским доказательством доступа к файлу через конкретную программу.
● См. также
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys