Artículos con la etiqueta «prefetch»

• ¿Cuál es la diferencia entre un archivo .pf y una entrada de Amcache?

  Los archivos .pf son registros de Windows Prefetch — prueba de que un binario se ejecutó, con marcas de tiempo de ejecución y listas de archivos cargados. Las entradas de Amcache registran presencia, con el hash SHA-1 y metadatos.

  2026-05-24

• ¿Qué es Windows Prefetch? (glosario)

  Prefetch es la carpeta de Windows con archivos .pf que registran cada ejecución de binario, con hasta 8-10 marcas de tiempo de ejecución por binario y los archivos que cada uno cargó. La evidencia de ejecución más fuerte de Windows.

  2026-05-24

• Amcache vs Prefetch: qué prueba realmente cada uno

  Amcache registra presencia; Prefetch registra ejecución. Una guía práctica de cuándo usar cada uno, en qué se solapan y cómo combinarlos en una timeline DFIR.

  2026-05-24