Zurück zu allen Beiträgen

Windows-Prefetch-Dateien analysieren

Sie haben einen Prefetch-Ordner aus einem Triage-Image gezogen. Und jetzt? Diese Anleitung folgt der Reihenfolge, die eine erfahrene DFIR-Analystin tatsächlich einhalten würde — inklusive der Fragen, die Sie sich bei jedem Schritt stellen sollten.

1. Den Ordner triagieren

Ziehen Sie den gesamten Prefetch\-Ordner auf den Parser auf dieser Seite. Die Ergebnistabelle listet jede .pf-Datei mit Programmnamen, Hash, Version, Ausführungszähler, Zeitstempel der letzten Ausführung, Volume-Anzahl und Anzahl der referenzierten Dateien auf.

Erster Durchgang — beantworten Sie diese Fragen, ohne irgendeine Zeile anzuklicken:

  • Wie viele Dateien insgesamt? Gesunde Windows-10/11-Workstations haben Hunderte. Eine Handvoll oder gar keine deutet darauf hin, dass Prefetch deaktiviert oder gelöscht wurde — oder dass es sich um einen Server handelt.
  • Wie verteilen sich die Versionen? Ausschließlich v30/v31 ist normal für einen Win10/11-Endpunkt. Vereinzelte v17-Einträge auf einem modernen Host sind untersuchungswürdig — sie können Beweis dafür sein, dass eine Prefetch-Datei von einem anderen System hineinkopiert wurde.
  • Ungewöhnliche ausführbare Dateien? Sortieren Sie die Tabelle nach Programmnamen und überfliegen Sie sie nach Binärdateien, die auf der Maschine nichts zu suchen haben: PowerShell-Loader mit Encoded-Befehl, gepackte .exe-Namen, alles in benutzerbeschreibbaren Pfaden und alles mit hohen Ausführungszählern, das Sie nicht kennen.

2. Verdächtige Einträge im Detail prüfen

Klicken Sie eine beliebige Zeile an, um das Detailfeld auszuklappen. Stellen Sie sich für jeden Kandidaten aus Schritt 1 folgende Fragen:

  • Wann lief er? Die Liste der letzten Ausführungen (bis zu 8 Einträge ab Win8.1) gibt Ihnen eine Zeitachse. Gleichen Sie sie mit dem Kompromittierungsfenster Ihres Vorfalls ab.
  • Von wo lief er? Die Volume-Informationen zeigen den Gerätepfad und die NTFS-Seriennummer. Eine Seriennummer, die nicht zum Hauptvolume des Systems passt, deutet darauf hin, dass die Binärdatei von einem Wechseldatenträger oder einem gemounteten Image gestartet wurde.
  • Was hat er angefasst? Die Liste der „referenzierten Dateien" enthält jede DLL, jede Konfigurationsdatei und jede Ressource, die die Binärdatei beim ersten beobachteten Lauf geladen hat. Auffällige Pfade — Verweise auf \Users\...\AppData\, auf Netzwerkfreigaben oder auf umbenannte System-DLLs — sind Ansatzpunkte.

3. Mit anderen Artefakten abgleichen

Prefetch sagt Ihnen allein, wann etwas lief. Es sagt Ihnen nicht, was die Binärdatei war, wer sie gestartet hat oder ob sie bösartig ist. Ziehen Sie zusätzlich heran:

  • Amcache (Amcache.hve) — vollständiges Inventar mit SHA-1-Hashes. Existiert ein Prefetch-Eintrag, fehlt aber der zugehörige Amcache-Datensatz, ist das ungewöhnlich. Für ein passendes clientseitiges Tool verwenden Sie den Amcache-Parser.
  • ShimCache / AppCompatCache — bestätigt den Pfad. Wenn Prefetch sagt, die Binärdatei lief aus C:\Temp\, und ShimCache sagt, derselbe Pfad sei fünf Minuten zuvor zuletzt geändert worden, festigt das die Beweislage.
  • Security-Eventlog (4688 — Prozessanlage) — war Prozess-Auditing aktiv, bekommen Sie den Elternprozess und die Befehlszeile, was Prefetch allein nicht liefert.

4. Auf Manipulation achten

Eine .pf-Datei ist letztlich nur eine Datei. Angreifer können sie löschen, durch eine Fälschung ersetzen oder ihr Anlegen verhindern. Drei schnelle Prüfungen:

  • Hash neu berechnen für den ausführbaren Pfad, den Sie in der Prefetch-Datei sehen. Eine Abweichung ist ein starkes Indiz für eine untergeschobene Datei.
  • Ausführungszähler von 1 mit aktuellem Zeitstempel auf einem System, das seit Wochen läuft, ist verdächtig — die Datei könnte gelöscht und neu erzeugt worden sein.
  • Zeitstempel in der Zukunft oder solche, die über viele Dateien hinweg sekundengenau übereinstimmen, deuten auf Batch-Manipulation hin.

5. Exportieren und dokumentieren

Klicken Sie auf „Download JSON" im Parser, um die vollständige strukturierte Ausgabe zu sichern. Diese JSON-Datei ist Ihr Audit-Artefakt: zeitstempelstabil, leicht zu durchsuchen, leicht gegen eine andere Sammlung zu diffen. Legen Sie sie neben Ihre Fallnotizen.

Für einen tieferen Einstieg, was die einzelnen Prefetch-Felder bedeuten, siehe Windows-Prefetch-Dateien für die Forensik verstehen und Prefetch v30 und v31 — die Änderungen.