Zurück zu allen Beiträgen

Windows Prefetch verstehen

Windows-Prefetch-Dateien (.pf) liegen in C:\Windows\Prefetch\ und zeichnen Metadaten zu jeder vom Betriebssystem gestarteten ausführbaren Datei auf. Sie sind eine der zuverlässigsten Ausführungsspuren, die einem forensischen Ermittler zur Verfügung stehen: Ein Programm muss weder installiert noch persistent noch überhaupt noch auf der Platte vorhanden sein, um einen Prefetch-Eintrag zu hinterlassen.

Jede .pf-Datei heißt <PROGRAMM>-<HASH>.pf, wobei der achtstellige Hash aus dem vollständigen Pfad der ausführbaren Datei abgeleitet wird. Zwei Kopien derselben Binärdatei, die aus unterschiedlichen Verzeichnissen gestartet werden, erzeugen zwei verschiedene Prefetch-Dateien.

Was der Parser extrahiert

Für jede .pf-Datei, die Sie ablegen, extrahiert das Tool:

  • Programmname und -pfad aus dem Prefetch-Header
  • SCCA-Version (17 = XP/Vista/7, 23 = Win8, 26 = Win8.1, 30 = Win10, 31 = Win11)
  • Ausführungszähler — wie oft das Programm gestartet wurde
  • Letzte Ausführungen — die jüngsten Zeitstempel in UTC (Win8.1+ speichert die letzten 8)
  • Volume-Informationen — Gerätepfad, Seriennummer und Erstellungszeit jedes berührten Volumes
  • Referenzierte Dateien — jede DLL, Konfigurationsdatei und Ressource, die das Programm während der Prefetch-Aufnahme geladen hat

Warum clientseitiges WebAssembly

.pf-Dateien sind Beweismaterial. Sie zur Analyse an einen Drittanbieter zu schicken, durchbricht die Beweiskette und legt potenziell sensible Artefakte offen. Dieses Tool kompiliert einen reinen Rust-Prefetch-Parser (frnsc-prefetch) zu WebAssembly und führt ihn in einem Web Worker direkt in Ihrem Browser aus. Die Bytes verlassen Ihren Rechner nie.

Win-8+-Komprimierung

Ab Windows 8 werden Prefetch-Dateien mit dem Xpress-Huffman-Algorithmus komprimiert gespeichert und mit der Signatur MAM versehen. Der Parser erkennt und entpackt sie transparent — Sie müssen vor dem Ablegen des Ordners nichts vorverarbeiten.

Ausprobieren

Legen Sie den Inhalt eines Prefetch-Ordners auf der Startseite ab, und Sie erhalten eine sortier- und filterbare Tabelle jeder Programmausführung, mit vollem Drilldown zu Volumes und geladenen Dateien. Klicken Sie auf JSON herunterladen, um die geparsten Daten in Ihre bevorzugte Werkzeugkette zu exportieren.