Prefetch Parser

Analysieren Sie Windows-Prefetch-Dateien (.pf) vollständig im Browser. Legen Sie den gesamten Prefetch-Ordner ab — nichts wird hochgeladen, die Analyse läuft lokal in WebAssembly.

.pf-Dateien oder einen kompletten Prefetch-Ordner hier ablegen

100 % clientseitig. Dateien werden im Speicher gelesen und nie an einen Server gesendet.

Noch keine Ergebnisse — legen Sie eine .pf-Datei oder einen Prefetch-Ordner ab, um zu beginnen.

Was ist Windows Prefetch?

Windows Prefetch (.pf) ist ein programmbezogener Cache, den Windows bei jedem Start eines Programms in C:\Windows\Prefetch\ schreibt. Jede Datei hält fest, worauf das Programm beim ersten Lauf zugegriffen hat — geladene Bibliotheken, das Volume, von dem es gestartet wurde, und wie oft es ausgeführt wurde. In der digitalen Forensik gehört Prefetch zu den zuverlässigsten Ausführungsspuren: Ein Programm muss weder installiert noch noch auf der Platte vorhanden sein, um einen .pf-Eintrag zu hinterlassen.

Was jede .pf-Datei aufzeichnet

  • Programmname und Prefetch-Hash (aus dem Startpfad abgeleitet)
  • SCCA-Version: 17 (XP/Vista/7), 23 (Win8), 26 (Win8.1), 30 (Win10), 31 (Win11)
  • Ausführungszähler — wie oft das Programm gestartet wurde
  • Bis zu 8 letzte Ausführungszeitpunkte in UTC (Win8.1+)
  • Volume-Informationen: Gerätepfad, NTFS-Seriennummer, Erstellungszeit
  • Jede DLL, Konfigurations- und Ressourcendatei, die während der Prefetch-Aufnahme geladen wurde

So analysieren Sie einen Prefetch-Ordner

Legen Sie eine .pf-Datei oder den gesamten C:\Windows\Prefetch\-Ordner auf dieser Seite ab. Der Parser läuft vollständig in Ihrem Browser:

  1. Dateien werden lokal in den Speicher gelesen — nichts wird hochgeladen.
  2. Ein zu WebAssembly kompilierter Rust-Prefetch-Decoder entpackt und liest jede Datei in einem Web Worker.
  3. Ergebnisse erscheinen in einer sortier- und filterbaren Tabelle. Klicken Sie eine Zeile, um alle Ausführungen, Volumes und referenzierten Dateien zu sehen.
  4. Exportieren Sie alles als JSON für nachgelagerte Werkzeuge.

Häufig gestellte Fragen

Wo speichert Windows Prefetch-Dateien?

C:\Windows\Prefetch\ — typischerweise mehrere hundert .pf-Dateien auf einem aktiven Arbeitsplatz. Der Ordner ist eingeschränkt, aber für Administratoren lesbar. Prefetch ist auf Workstation-Editionen standardmäßig aktiviert; auf Windows Server ist es oft deaktiviert.

Wie wird der achtstellige Prefetch-Hash berechnet?

Der Hash am Ende des Dateinamens (NAME-XXXXXXXX.pf) wird aus dem vollständigen Pfad der ausführbaren Datei als UTF-16-Zeichenkette abgeleitet. Zwei Kopien derselben Binärdatei aus unterschiedlichen Verzeichnissen erzeugen zwei verschiedene .pf-Dateien. Der Algorithmus änderte sich zwischen Windows XP/Vista und Windows 7+ (SuperFetch-Hash).

Warum sind Prefetch-Dateien ab Windows 8 komprimiert?

Ab Windows 8 komprimiert das Betriebssystem Prefetch-Dateien mit Xpress Huffman und kennzeichnet sie mit der MAM\u00104-Signatur. Dieser Parser entpackt sie transparent — Sie müssen vor dem Ablegen des Ordners nichts vorverarbeiten.

Sind Prefetch-Dateien ein zuverlässiger Ausführungsbeweis?

Ja — Windows schreibt eine .pf-Datei erst nach der tatsächlichen Ausführung. Allerdings können Ausführungszähler und Zeitstempel manipuliert werden (z. B. durch Löschen von Prefetch-Dateien), und ein fehlender Eintrag beweist nicht, dass ein Programm nie lief, falls die .pf-Dateien nachträglich entfernt wurden. Zur Bestätigung mit Amcache, ShimCache und Ereignisprotokollen abgleichen.

Wird etwas an einen Server gesendet?

Nein. Der Parser kompiliert einen reinen Rust-Prefetch-Decoder (frnsc-prefetch) zu WebAssembly und führt ihn in einem Web Worker in Ihrem Browser aus. Bytes verlassen Ihren Rechner nie. Kein Backend, keine Telemetrie über Dateiinhalte, kein Upload.

Welche Windows-Versionen werden unterstützt?

Alle SCCA-Versionen von Windows XP bis Windows 11: v17 (XP/Vista/7, unkomprimiert), v23 (Win8), v26 (Win8.1), v30 (Win10) und v31 (Win11). Komprimierte wie unkomprimierte Dateien werden automatisch erkannt.