Was ist Windows Prefetch? (Glossar)
Windows Prefetch ist der Ordner mit .pf-Dateien, den der Prefetcher schreibt, um den Anwendungsstart zu beschleunigen. Der Prefetcher zeichnet auf, welche DLLs und Datendateien eine Binary in ihren ersten ~10 Sekunden lädt, damit Windows sie beim nächsten Mal vorab einblenden kann. Der forensische Wert ist ein Nebeneffekt: Die .pf existiert genau dann, wenn die Binary tatsächlich gelaufen ist (vorausgesetzt, Prefetch ist an, was auf Desktop-Builds standardmäßig der Fall ist).
Das macht Prefetch zum stärksten Windows-Artefakt, um Ausführung zu beweisen. Es ist die kanonische Sache, die mit Amcache zu paaren ist, wenn „Ist diese Binary gelaufen?" zählt.
Was jede .pf trägt#
| Feld | Bedeutung |
|---|---|
| Ausführungsname | Aus dem Dateinamen. |
| Pfad-Hash | Der Suffix des Dateinamens. Kein Inhalts-Hash. |
| Laufzähler | Wie oft die Binary gestartet wurde. |
| Letzte Laufzeiten | Bis zu 8 (Win 7/8/10), 10 auf Win 11. |
| Geladene Dateien | DLLs und Datendateien, die in den ersten ~10s der Ausführung referenziert wurden. |
| Referenzierte Volumes | Volume-Seriennummern der Quelle. |
Prefetch vs Amcache#
| Prefetch | Amcache | |
|---|---|---|
| Beweist Ausführung | Ja | Nein, nur Präsenz |
| Zeichnet Inhalts-Hash auf | Nein (nur Pfad-Hash) | Ja (SHA-1) |
| Zeichnet Laufzeiten auf | Ja, bis zu 8 oder 10 | Nein |
| Zeichnet Hersteller / Version auf | Nein | Ja |
| Überlebt Löschung der Binary | Ja | Ja |
| Standardmäßig auf Desktops aktiv | Ja | Ja |
| Standardmäßig auf Servern aktiv | Oft aus | An (langsamere Kadenz) |
Für den vollständigen Vergleich siehe Amcache vs Prefetch.
Wann jedes gewinnt#
Prefetch gewinnt bei: „Ist das gelaufen?", „Wann?", „Was hat es geladen?". Die Liste der geladenen Dateien zeigt oft injizierte DLLs auf, die Sie sonst nicht sehen würden.
Amcache gewinnt bei: „Was ist sein SHA-1?", „War es vorhanden, aber nie gelaufen?", „Was ist mit Treibern und Geräten?". Und Amcache überlebt routinemäßig viel länger als Prefetch, das auf modernem Windows um die 1024 Einträge herum rotiert.
Parsing-Tools#
- PECmd (Eric Zimmerman). Standard.
- Windows-Prefetch-Parser. Ältere Python-Alternative, gelegentlich noch nützlich.
Verwandte Begriffe#
Verwandte Beiträge
- Was ist SRUM (SRUDB.dat)? (Glossar)
SRUM ist die ESE-Datenbank, mit der Windows die Ressourcennutzung pro Anwendung stündlich über 30 bis 60 Tage verfolgt. Das einzige Windows-Artefakt mit Netzwerk-Byte-Summen pro App. Kritisch für Exfiltration.
- Was ist Shimcache (AppCompatCache)? (Glossar)
Shimcache ist der vom Kernel verwaltete Loader-Cache in der SYSTEM-Hive. 1024 Einträge, kein Hash, bis zum Neustart veraltet. Anders als Amcache; paaren Sie sie.
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.