Blog
- Windows-Prefetch-Parsing-Tools im Vergleich — PECmd, WinPrefetchView und Browser-basierte Parser
PECmd, WinPrefetchView, libscca und Online-Parser — wofür jedes gut ist, was es übersieht und wann Sie zu welchem greifen.
2026-05-28
- Prefetch-Anti-Forensik: was Angreifer verbergen können und was nicht
EnablePrefetcher=0, das Löschen von .pf-Dateien, der Rename-vor-Run-Trick. Ein Praktikerblick darauf, welche Angriffe gegen Prefetch funktionieren und welche eine Spur hinterlassen, der man folgen kann.
2026-05-27
- Prefetch als Beweismittel: was .pf-Dateien tatsächlich beweisen
Windows Prefetch ist das zuverlässigste Einzelartefakt für den Ausführungsnachweis in der DFIR — aber nur, wenn Sie verstehen, was es nicht sagt. Ein Praktikerblick auf .pf-Dateien.
2026-05-27
- Warum Windows Server keine Prefetch-Dateien hat — PrefetchParameters und SysMain erklärt
Prefetch ist auf Windows Server standardmäßig aus, wird durch die Registry gesteuert und ist an den SysMain-Dienst gebunden. Hier wird erklärt, was ihn steuert und wie Sie den Status auf einem Live-System überprüfen.
2026-05-27
- Das Windows-Prefetch-Dateiformat über die Versionen hinweg
SCCA, MAM-Kompression, Sections A bis D und das Versionsfeld. Ein praxisnaher Durchgang, wie sich .pf-Dateien von XP bis Win11 verändert haben und welche Parser mithalten.
2026-05-27
- Die Datei-Load-Liste: was jede .pf darüber verrät, was eine Binärdatei getan hat
Die Prefetch-Load-Liste ist der Teil, den die meisten Analysten überfliegen. Es ist auch der Ort, an dem sich DLL-Hijacks, Malware-Konfigurationen und Dokumentenöffnungen offen verstecken. Ein praxisnaher Leitfaden.
2026-05-27
- Lief das Programm wirklich? Prefetch und Prozessausführung
Prefetch ist das stärkste einzelne Ausführungsbeweis-Artefakt in Windows DFIR. Hier ist, wo die Aussage trägt, wo sie bricht und wie Sie sie mit EVTX 4688 und Sysmon untermauern.
2026-05-27
- Ransomware mit Prefetch untersuchen: eine Walkthrough
Ein fiktiver, aber realistischer Ransomware-Fall, rekonstruiert aus Prefetch. Die acht Zeitstempel, die Load-Liste des Encryptors, Lateral-Movement-Tools. Wie die .pf-Dateien die Geschichte erzählen.
2026-05-27
- SuperFetch, SysMain und die Win10/11-Prefetch-Verwirrung
SuperFetch wurde in Win10 1709 zu SysMain. Prefetch ist auf SSDs teilweise deaktiviert. Hier ist, was die Registry-Schalter wirklich tun und was Sie verifizieren sollten, bevor Sie einer .pf-Datei vertrauen.
2026-05-27
- Manipulation und Anti-Forensik bei Windows Prefetch erkennen
Angreifer löschen, fälschen und manipulieren .pf-Dateien, um Ausführungsspuren zu verschleiern. Hier erfahren Sie, wie Sie die häufigsten Anzeichen erkennen und was sie jeweils aussagen.
2026-05-26
- Wie man Windows-Prefetch-Dateien analysiert — eine forensische Anleitung
Eine praxisnahe, schrittweise Anleitung zum Lesen von .pf-Dateien als Ausführungsbeweis — worauf zu achten ist, was zu ignorieren ist und wie man Befunde untermauert.
2026-05-25
- Prefetch vs Amcache vs ShimCache — das richtige Ausführungsartefakt wählen
Drei Windows-Artefakte zeichnen Programmausführung auf. Sie überlappen sich, aber jedes erfasst etwas, das die anderen beiden übersehen. Hier ist, wann Sie zu welchem greifen.
2026-05-24
- Was sich bei Windows Prefetch v30 und v31 änderte (Windows 10 und 11)
Das SCCA-Versionsfeld ist die einzelne nützlichste Zahl in einer Prefetch-Datei. Hier wird erklärt, was jede Version bedeutet und worauf beim Parsen von v30 (Win10) und v31 (Win11) zu achten ist.
2026-05-23
- Inside MAM-Kompression — wie Windows 8+ Prefetch-Dateien verpackt
Moderne .pf-Dateien beginnen mit einer MAM-Signatur und einem Xpress-Huffman-komprimierten Payload. Hier wird erklärt, wie das Framing funktioniert, warum es eingeführt wurde und was ein Parser tun muss, um es zu lesen.
2026-05-22
- Wie der Windows-Prefetch-Hash berechnet wird
Der 8-Zeichen-Suffix in jedem .pf-Dateinamen ist ein vom Pfad abgeleiteter Hash, und der Algorithmus wurde dreimal geändert. Hier ist, was er berechnet und warum das für die Forensik wichtig ist.
2026-05-21
- Windows Prefetch für die Forensik verstehen
Was .pf-Dateien aufzeichnen, warum sie wichtig sind und wie dieser Parser sie vollständig in Ihrem Browser liest.
2026-05-20