Was ist Windows Prefetch? (Glossar)

Windows Prefetch ist der Ordner mit .pf-Dateien, den der Prefetcher schreibt, um den Anwendungsstart zu beschleunigen. Der Prefetcher zeichnet auf, welche DLLs und Datendateien eine Binary in ihren ersten ~10 Sekunden lädt, damit Windows sie beim nächsten Mal vorab einblenden kann. Der forensische Wert ist ein Nebeneffekt: Die .pf existiert genau dann, wenn die Binary tatsächlich gelaufen ist (vorausgesetzt, Prefetch ist an, was auf Desktop-Builds standardmäßig der Fall ist).

Das macht Prefetch zum stärksten Windows-Artefakt, um Ausführung zu beweisen. Es ist die kanonische Sache, die mit Amcache zu paaren ist, wenn „Ist diese Binary gelaufen?" zählt.

Was jede .pf trägt#

Feld Bedeutung
Ausführungsname Aus dem Dateinamen.
Pfad-Hash Der Suffix des Dateinamens. Kein Inhalts-Hash.
Laufzähler Wie oft die Binary gestartet wurde.
Letzte Laufzeiten Bis zu 8 (Win 7/8/10), 10 auf Win 11.
Geladene Dateien DLLs und Datendateien, die in den ersten ~10s der Ausführung referenziert wurden.
Referenzierte Volumes Volume-Seriennummern der Quelle.

Prefetch vs Amcache#

Prefetch Amcache
Beweist Ausführung Ja Nein, nur Präsenz
Zeichnet Inhalts-Hash auf Nein (nur Pfad-Hash) Ja (SHA-1)
Zeichnet Laufzeiten auf Ja, bis zu 8 oder 10 Nein
Zeichnet Hersteller / Version auf Nein Ja
Überlebt Löschung der Binary Ja Ja
Standardmäßig auf Desktops aktiv Ja Ja
Standardmäßig auf Servern aktiv Oft aus An (langsamere Kadenz)

Für den vollständigen Vergleich siehe Amcache vs Prefetch.

Wann jedes gewinnt#

Prefetch gewinnt bei: „Ist das gelaufen?", „Wann?", „Was hat es geladen?". Die Liste der geladenen Dateien zeigt oft injizierte DLLs auf, die Sie sonst nicht sehen würden.

Amcache gewinnt bei: „Was ist sein SHA-1?", „War es vorhanden, aber nie gelaufen?", „Was ist mit Treibern und Geräten?". Und Amcache überlebt routinemäßig viel länger als Prefetch, das auf modernem Windows um die 1024 Einträge herum rotiert.

Parsing-Tools#

  • PECmd (Eric Zimmerman). Standard.
  • Windows-Prefetch-Parser. Ältere Python-Alternative, gelegentlich noch nützlich.

Verwandte Begriffe#

Verwandte Beiträge

  • Was ist SRUM (SRUDB.dat)? (Glossar)

    SRUM ist die ESE-Datenbank, mit der Windows die Ressourcennutzung pro Anwendung stündlich über 30 bis 60 Tage verfolgt. Das einzige Windows-Artefakt mit Netzwerk-Byte-Summen pro App. Kritisch für Exfiltration.

  • Was ist Shimcache (AppCompatCache)? (Glossar)

    Shimcache ist der vom Kernel verwaltete Loader-Cache in der SYSTEM-Hive. 1024 Einträge, kein Hash, bis zum Neustart veraltet. Anders als Amcache; paaren Sie sie.

  • Was ist Amcache ProgramId? (Glossar)

    ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.

  • Was ist LinkDate in Amcache? (Glossar)

    LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.

Zurück zu allen Beiträgen