Beweist eine .pf-Datei Ausführung?

Ja. Der Prefetcher erstellt eine .pf-Datei beim ersten Ausführen eines Binärprogramms und aktualisiert sie bei nachfolgenden Läufen. Die bloße Existenz einer .pf-Datei ist ein Ausführungsbeweis (vorausgesetzt, Prefetch ist aktiviert, was auf Windows-Desktop-Builds standardmäßig der Fall ist).

Beweist ein Amcache-Eintrag Ausführung?

Nein. Amcache zeichnet Präsenz auf — dass der Appraiser die Datei während eines Inventar-Durchlaufs auf der Disk gesehen hat. Ein Binärprogramm kann in Amcache erscheinen, ohne jemals ausgeführt worden zu sein (z. B. ein Tool, das der Angreifer geparkt, aber nie ausgeführt hat).

Welches hat Hashes — .pf oder Amcache?

Nur Amcache. Der Hash im .pf-Dateinamen (z. B. NOTEPAD.EXE-1A2B3C4D.pf) ist ein Windows-spezifischer Pfad-Hash, kein Inhalts-SHA-1. Amcache speichert einen echten SHA-1 der ersten 31 MiB der Datei im Feld FileId.

Welches ist präziser zeitgestempelt — .pf oder Amcache?

.pf-Dateien haben präzise Zeitstempel pro Lauf (bis zu 8/10 Läufe pro Binärprogramm). Amcaches KeyLastWriteTimestamp ist die Appraiser-Schreibzeit, die der tatsächlichen Ankunft der Datei um bis zu 24 Stunden hinterherhängen kann.

Können sowohl .pf als auch Amcache für dasselbe Binärprogramm existieren?

Normalerweise ja. Ein Binärprogramm, das lief und inventarisiert wurde, hat beides. Ein nur-.pf-Binärprogramm lief, aber der Appraiser hat es noch nicht gesehen (oft weil es zwischen Läufen gelöscht wurde). Ein nur-Amcache-Binärprogramm ist präsent, wurde aber nie ausgeführt.

Was ist der Unterschied zwischen einer .pf-Datei und einem Amcache-Eintrag?

Eine .pf-Datei ist ein Windows-Prefetch-Datensatz unter C:\Windows\Prefetch\, der genau dann existiert, wenn das entsprechende Binärprogramm tatsächlich ausgeführt wurde. Sie enthält bis zu 8 Run-Zeitstempel (10 auf Windows 11), einen Run-Zähler und die Liste der Dateien, die das Binärprogramm in seinen ersten 10 Sekunden geladen hat. Ein Amcache-Eintrag ist ein Unterschlüssel innerhalb von Amcache.hve, der aufzeichnet, dass der Compatibility Appraiser eine PE-Datei inventarisiert hat, die auf der Disk vorhanden war — er enthält den SHA-1-Hash, vollständigen Pfad, Herausgeber, Version und Link-Datum der Datei, beweist aber NICHT, dass das Binärprogramm jemals lief. .pf-Dateien beantworten 'Wurde das ausgeführt?'; Amcache-Einträge beantworten 'War das präsent?'.

Was ist eine .pf-Datei vs. ein Amcache-Eintrag?

Eine .pf-Datei beweist Ausführung. Ein Amcache-Eintrag zeichnet Präsenz auf. Dasselbe Binärprogramm kann in beiden, in nur einem oder in keinem erscheinen — und welche Kombination Sie beobachten, ist selbst ermittlungstechnische Information.

Direkter Vergleich#

	`.pf`-Datei (Prefetch)	Amcache-Eintrag
Wo es lebt	`C:\Windows\Prefetch\NAME.EXE-1A2B3C4D.pf`	Unterschlüssel innerhalb von `Amcache.hve`
Erstellt wann	Beim ersten Ausführen des Binärprogramms	Beim ersten Inventarisieren des Binärprogramms durch den Appraiser
Gepflegt von	Prefetcher-Subsystem	Geplanter Task Compatibility Appraiser
Beweist Ausführung?	Ja	Nein
Beweist Präsenz?	Ja (implizit — muss existiert haben, um zu laufen)	Ja
Hat SHA-1-Hash?	Nein (nur Pfad-Hash)	Ja (SHA-1 der ersten 31 MiB)
Hat Herausgeber / Version?	Nein	Ja
Run-Zeitstempel?	Ja, bis zu 8 (10 auf Win 11)	Nein
Inventar-Zeitstempel?	Nein	Ja (`KeyLastWriteTimestamp`)
Überlebt Löschung des Binärprogramms?	Ja (nur Datei-Löschung)	Ja (Registry-Persistenz)
Standardmäßig auf Windows-Desktops aktiviert?	Ja	Ja
Standardmäßig auf Servern aktiviert?	Oft deaktiviert	Aktiviert (langsamerer Takt)

Die vier Zustände#

Für jedes gegebene Binärprogramm auf einem Host beobachten Sie einen von vier Zuständen. Jeder bietet eine andere Lesart:

Beide vorhanden#

Das Binärprogramm lief, und der Appraiser hat es inventarisiert. Sie haben Ausführungsbeweis (Prefetch-Run-Zeiten) und Identitätsbeweis (Amcache-Hash + Metadaten). Typischer Fall für normale Software.

Nur Prefetch#

Das Binärprogramm lief, aber Amcache hat es nicht aufgezeichnet. Zwei wahrscheinliche Gründe:

Das Binärprogramm wurde vor dem nächsten Appraiser-Lauf gelöscht. Häufig bei Stagers / Droppers, die sich nach dem Ausführen selbst löschen.
Das Binärprogramm lebt in einem Pfad, den der Appraiser nicht scannt.

Das ist ein starkes Signal für absichtliche Bereinigung — das klassische Cobalt-Strike / Sliver / Metasploit-Stager-Muster.

Nur Amcache#

Das Binärprogramm ist präsent, wurde aber nie ausgeführt (oder nur als DLL von einer anderen EXE geladen, was die .pf der anderen EXE aktualisiert). Gründe:

Geparktes Tool, das auf einen Trigger wartet.
Nur über rundll32.exe / regsvr32.exe / LoadLibrary aus einem anderen Prozess geladen.
Prefetch ist auf diesem Host deaktiviert.

Ein „präsent, aber nie gelaufen"-Befund ist sehr anders als „ausgeführt". Nützlich zum Erkennen geparkter, aber ungenutzter Tools.

Beide abwesend#

Das Binärprogramm wurde nie ausgeführt und der Appraiser hat es nie inventarisiert. Am nächsten dran an „das ist auf diesem Host nie passiert" — aber nicht schlüssig. Beide Artefakte können gewischt werden, beide haben Abdeckungslücken, und Binärprogramme, die nur zwischen Appraiser-Durchläufen kurz auftauchen, können keine Spur hinterlassen.

Der kombinierte Workflow#

Parsen Sie Amcache mit AmcacheParser.
Parsen Sie Prefetch mit PECmd.
Laden Sie beide CSVs in Timeline Explorer.
Filtern Sie Amcache auf „unsignierte PE in benutzerbeschreibbarem Pfad".
Prüfen Sie für jeden Amcache-Treffer, ob eine .pf für denselben Name existiert. Vorhanden → Ausführung bestätigt. Abwesend → nur Präsenz.
Nehmen Sie für jede .pf den Namen der ausführbaren Datei und prüfen Sie Amcache auf Hash und Metadaten.

Für vollständige Abdeckung siehe Amcache vs Prefetch.