Prefetch 文件
Prefetch 文件 是什么?
Prefetch 文件存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
Prefetch 是 Windows 的一种性能优化机制,会记录可执行文件在启动后前十秒访问的文件和目录。生成的 .pf 文件(命名为 EXECUTABLE-HASH.pf)位于 C:\Windows\Prefetch,包含原始可执行路径、运行次数、最近 8 次执行时间(Windows 8+)以及涉及的文件和卷列表。取证人员利用 Prefetch 证明程序执行、恢复已删除二进制文件的名称、构建时间线,并识别从 temp、AppData 等位置启动的可疑程序。在 Windows Server 以及部分使用 SSD 的配置中,Prefetch 默认关闭,因此其缺失本身就是一种线索。PECmd 是标准解析工具。
● 示例
- 01
通过解析 C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf 证明一个已被删除的勒索软件曾经执行。
- 02
当 wmic.exe 或 rundll32.exe 的运行次数异常并引用非系统路径时,识别 LOLBin 滥用行为。
● 常见问题
Prefetch 文件 是什么?
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。 它属于网络安全的 取证与应急响应 分类。
Prefetch 文件 是什么意思?
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
Prefetch 文件 是如何工作的?
Prefetch 是 Windows 的一种性能优化机制,会记录可执行文件在启动后前十秒访问的文件和目录。生成的 .pf 文件(命名为 EXECUTABLE-HASH.pf)位于 C:\Windows\Prefetch,包含原始可执行路径、运行次数、最近 8 次执行时间(Windows 8+)以及涉及的文件和卷列表。取证人员利用 Prefetch 证明程序执行、恢复已删除二进制文件的名称、构建时间线,并识别从 temp、AppData 等位置启动的可疑程序。在 Windows Server 以及部分使用 SSD 的配置中,Prefetch 默认关闭,因此其缺失本身就是一种线索。PECmd 是标准解析工具。
如何防御 Prefetch 文件?
针对 Prefetch 文件 的防御通常结合技术控制与运营实践,详见上方完整定义。
Prefetch 文件 还有哪些其他名称?
常见的别称包括: .pf 文件, Windows Prefetch。
● 相关术语
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Windows 注册表中的一个值,用于应用兼容性检查时记录可执行文件元数据;历史上常作为执行证据,但在解读时需特别注意若干限制。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 001
$UsnJrnl ($J)
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
- forensics-ir№ 568
跳转列表 (Jump Lists)
按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。
● 参见
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys