Prefetch 文件
Prefetch 文件 是什么?
Prefetch 文件存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
Prefetch 是 Windows 的一种性能优化机制,会记录可执行文件在启动后前十秒访问的文件和目录。生成的 .pf 文件(命名为 EXECUTABLE-HASH.pf)位于 C:\Windows\Prefetch,包含原始可执行路径、运行次数、最近 8 次执行时间(Windows 8+)以及涉及的文件和卷列表。取证人员利用 Prefetch 证明程序执行、恢复已删除二进制文件的名称、构建时间线,并识别从 temp、AppData 等位置启动的可疑程序。在 Windows Server 以及部分使用 SSD 的配置中,Prefetch 默认关闭,因此其缺失本身就是一种线索。PECmd 是标准解析工具。
● 示例
- 01
通过解析 C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf 证明一个已被删除的勒索软件曾经执行。
- 02
当 wmic.exe 或 rundll32.exe 的运行次数异常并引用非系统路径时,识别 LOLBin 滥用行为。
● 常见问题
Prefetch 文件 是什么?
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。 它属于网络安全的 取证与应急响应 分类。
Prefetch 文件 是什么意思?
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
如何防御 Prefetch 文件?
针对 Prefetch 文件 的防御通常结合技术控制与运营实践,详见上方完整定义。
Prefetch 文件 还有哪些其他名称?
常见的别称包括: .pf 文件, Windows Prefetch。