Blog

• Windows-Prefetch-Parser im Vergleich — PECmd, WinPrefetchView und browserbasierte Parser

  PECmd, WinPrefetchView, libscca und Online-Parser — wofür jedes Tool stark ist, was es nicht abdeckt und wann Sie zu welchem greifen sollten.

  2026-05-28

• Warum Windows Server keine Prefetch-Dateien hat — PrefetchParameters und SysMain erklärt

  Prefetch ist auf Windows Server standardmäßig aus, wird über die Registry gesteuert und hängt am Dienst SysMain. Hier erfahren Sie, was das Verhalten steuert und wie Sie den Zustand auf einem laufenden System prüfen.

  2026-05-27

• Manipulation und Anti-Forensik bei Windows Prefetch erkennen

  Angreifer löschen, fälschen und unterschieben .pf-Dateien, um Ausführungsspuren zu verschleiern. So erkennen Sie die typischen Anzeichen und wissen, was jedes davon bedeutet.

  2026-05-26

• Windows-Prefetch-Dateien analysieren — eine forensische Schritt-für-Schritt-Anleitung

  Eine praxisnahe Anleitung zum Auslesen von .pf-Dateien als Ausführungsspur — worauf Sie achten sollten, was Sie ignorieren können und wie Sie Befunde absichern.

  2026-05-25

• Prefetch, Amcache oder ShimCache — das passende Ausführungs-Artefakt wählen

  Drei Windows-Artefakte protokollieren Programmausführungen. Sie überlappen sich, doch jedes erfasst etwas, das den anderen beiden entgeht. Hier erfahren Sie, wann Sie zu welchem greifen sollten.

  2026-05-24

• Was sich in Windows Prefetch v30 und v31 geändert hat (Windows 10 und 11)

  Das SCCA-Versionsfeld ist die nützlichste einzelne Zahl in einer Prefetch-Datei. Hier erfahren Sie, was die jeweiligen Versionen bedeuten und worauf Sie beim Parsen von v30 (Win10) und v31 (Win11) achten sollten.

  2026-05-23

• MAM-Kompression im Detail — wie Windows 8+ Prefetch-Dateien packt

  Moderne .pf-Dateien beginnen mit einer MAM-Signatur und einem Xpress-Huffman-komprimierten Payload. Hier erfahren Sie, wie das Framing funktioniert, warum es eingeführt wurde und was ein Parser leisten muss, um es zu lesen.

  2026-05-22

• Wie der Hash im Windows Prefetch berechnet wird

  Das achtstellige Suffix in jedem .pf-Dateinamen ist ein aus dem Pfad abgeleiteter Hash, und der Algorithmus hat sich dreimal geändert. Hier erfahren Sie, was er berechnet und warum das für die Forensik relevant ist.

  2026-05-21

• Windows-Prefetch-Dateien für die Forensik verstehen

  Was .pf-Dateien aufzeichnen, warum sie wichtig sind, und wie dieser Parser sie vollständig im Browser liest.

  2026-05-20