¿Prueba un archivo .pf la ejecución?

Sí. El Prefetcher crea un archivo .pf la primera vez que un binario se ejecuta y lo actualiza en corridas posteriores. La mera existencia de un archivo .pf es evidencia de ejecución (asumiendo que Prefetch está habilitado, lo que es por defecto en builds de Windows desktop).

¿Prueba una entrada de Amcache la ejecución?

No. Amcache registra presencia — que el appraiser vio el archivo en disco durante una pasada de inventario. Un binario puede aparecer en Amcache sin haber ejecutado nunca (p. ej. una herramienta que el atacante preparó pero nunca corrió).

¿Cuál tiene hashes — .pf o Amcache?

Solo Amcache. El hash en un nombre de archivo .pf (p. ej. NOTEPAD.EXE-1A2B3C4D.pf) es un hash de ruta específico de Windows, no un SHA-1 de contenido. Amcache almacena un SHA-1 real de los primeros 31 MiB del archivo en el campo FileId.

¿Cuál tiene marcas de tiempo más precisas — .pf o Amcache?

Los archivos .pf tienen marcas de tiempo precisas por corrida (hasta 8/10 corridas por binario). El KeyLastWriteTimestamp de Amcache es la hora de escritura del appraiser, que puede ir hasta 24 horas por detrás de la llegada real del archivo.

¿Pueden existir tanto .pf como Amcache para el mismo binario?

Usualmente sí. Un binario que corrió y fue inventariado tendrá ambos. Un binario solo en .pf corrió pero el appraiser no lo ha visto (a menudo porque fue borrado entre corridas). Un binario solo en Amcache está presente pero nunca se ejecutó.

¿Cuál es la diferencia entre un archivo .pf y una entrada de Amcache?

Un archivo .pf prueba ejecución. Una entrada de Amcache registra presencia. El mismo binario puede aparecer en ambos, en solo uno, o en ninguno — y qué combinación observas es en sí información investigativa.

Lado a lado#

	Archivo `.pf` (Prefetch)	Entrada de Amcache
Dónde vive	`C:\Windows\Prefetch\NAME.EXE-1A2B3C4D.pf`	Subclave dentro de `Amcache.hve`
Creado cuando	Primera vez que el binario corre	Primera vez que el appraiser inventaria el binario
Mantenido por	Subsistema Prefetcher	Tarea programada Compatibility Appraiser
¿Prueba ejecución?	Sí	No
¿Prueba presencia?	Sí (implícito — debió existir para correr)	Sí
¿Tiene hash SHA-1?	No (solo hash de ruta)	Sí (SHA-1 de los primeros 31 MiB)
¿Tiene publisher / versión?	No	Sí
¿Marcas de tiempo de corrida?	Sí, hasta 8 (10 en Win 11)	No
¿Marcas de tiempo de inventario?	No	Sí (`KeyLastWriteTimestamp`)
¿Sobrevive al borrado del binario?	Sí (solo borrado del archivo)	Sí (persistencia del registro)
¿Activado por defecto en desktops Windows?	Sí	Sí
¿Activado por defecto en Servers?	A menudo desactivado	Activado (cadencia más lenta)

Los cuatro estados#

Para cualquier binario dado en un host, observas uno de cuatro estados. Cada uno lleva una lectura diferente:

Ambos presentes#

El binario corrió, y el appraiser lo inventarió. Tienes prueba de ejecución (horas de corrida de Prefetch) y prueba de identidad (hash de Amcache + metadatos). Caso típico para software normal.

Solo Prefetch#

El binario corrió, pero Amcache no lo ha registrado. Dos razones probables:

El binario fue borrado antes de la siguiente corrida del appraiser. Común para stagers / droppers que se auto-borran después de correr.
El binario vive en una ruta que el appraiser no escanea.

Esta es una señal fuerte de limpieza deliberada — el patrón clásico de stager de Cobalt Strike / Sliver / Metasploit.

Solo Amcache#

El binario está presente pero nunca se ejecutó (o se ejecutó solo como una DLL cargada por otro EXE, lo que actualiza el .pf del otro EXE). Razones:

Herramienta preparada esperando disparador.
Cargada solo vía rundll32.exe / regsvr32.exe / LoadLibrary desde otro proceso.
Prefetch desactivado en este host.

Un hallazgo "presente pero nunca corrió" es muy diferente de "ejecutado". Útil para detectar herramientas preparadas pero sin usar.

Ambos ausentes#

El binario nunca se ejecutó y el appraiser nunca lo inventarió. Lo más cercano que llegas a "esto nunca ocurrió en este host" — pero no concluyente. Ambos artefactos pueden ser limpiados, ambos tienen huecos de cobertura, y los binarios transitorios entre pasadas del appraiser pueden no dejar rastro.

El flujo de trabajo combinado#

Parsea Amcache con AmcacheParser.
Parsea Prefetch con PECmd.
Carga ambos CSVs en Timeline Explorer.
Filtra Amcache a "PE sin firmar en ruta escribible por usuario".
Para cada hit de Amcache, comprueba si existe un .pf para el mismo Name. Presente → ejecución confirmada. Ausente → solo presencia.
Para cada .pf, toma el nombre del ejecutable y comprueba Amcache para hash y metadatos.

Para cobertura completa, ver Amcache vs Prefetch.