Prefetch Parser

Analiza archivos Windows Prefetch (.pf) completamente en tu navegador. Suelta toda la carpeta Prefetch — no se sube nada, el análisis se ejecuta localmente en WebAssembly.

Suelta aquí archivos .pf o una carpeta Prefetch completa

100 % en el cliente. Los archivos se leen en memoria y nunca se envían a un servidor.

Aún no hay resultados — suelta un archivo .pf o una carpeta Prefetch para empezar.

¿Qué es Windows Prefetch?

Windows Prefetch (.pf) es una caché por ejecutable que Windows escribe en C:\Windows\Prefetch\ cada vez que se lanza un programa. Cada archivo registra lo que el programa tocó en su primera ejecución — las bibliotecas que cargó, el volumen desde el que se ejecutó y cuántas veces se ha lanzado. En análisis forense digital, prefetch es una de las fuentes de evidencia de ejecución más fiables: un programa no necesita estar instalado ni seguir presente en disco para dejar una entrada .pf.

Qué registra cada archivo .pf

  • Nombre del ejecutable y hash de prefetch (derivado de la ruta de lanzamiento)
  • Versión SCCA: 17 (XP/Vista/7), 23 (Win8), 26 (Win8.1), 30 (Win10), 31 (Win11)
  • Número de ejecuciones — cuántas veces se ha lanzado el programa
  • Hasta 8 marcas de tiempo de ejecución en UTC (Win8.1+)
  • Información de volumen: ruta del dispositivo, número de serie NTFS, fecha de creación
  • Cada DLL, archivo de configuración y recurso cargado por el programa durante la captura de prefetch

Cómo analizar una carpeta Prefetch

Suelta un archivo .pf o toda la carpeta C:\Windows\Prefetch\ en esta página. El analizador se ejecuta completamente en tu navegador:

  1. Los archivos se leen en memoria localmente — nada se sube.
  2. Un decodificador prefetch en Rust compilado a WebAssembly descomprime y analiza cada archivo dentro de un Web Worker.
  3. Los resultados se muestran en una tabla ordenable y filtrable. Pulsa una fila para ver todas las ejecuciones, volúmenes y archivos referenciados.
  4. Exporta todo como JSON para tu cadena de herramientas posterior.

Preguntas frecuentes

¿Dónde almacena Windows los archivos prefetch?

C:\Windows\Prefetch\ — normalmente varios cientos de archivos .pf en un equipo activo. La carpeta está restringida pero es legible por administradores. Prefetch está activado por defecto en las ediciones de estación de trabajo de Windows; en Windows Server suele estar desactivado.

¿Cómo se calcula el hash de 8 caracteres del prefetch?

El hash al final del nombre (NOMBRE-XXXXXXXX.pf) se deriva de la ruta completa del ejecutable como cadena UTF-16. Dos copias del mismo binario lanzadas desde directorios distintos producen dos archivos .pf diferentes. El algoritmo cambió entre Windows XP/Vista y Windows 7+ (hash SuperFetch).

¿Por qué los archivos prefetch de Windows 8+ están comprimidos?

A partir de Windows 8, el sistema comprime los archivos prefetch con el algoritmo Xpress Huffman y los marca con la firma MAM\u00104. Este analizador los descomprime de forma transparente — no necesitas preprocesar nada antes de soltar la carpeta.

¿Son los archivos prefetch evidencia fiable de ejecución?

Sí — Windows solo escribe un archivo .pf después de que el ejecutable se ejecute realmente. Sin embargo, los contadores y marcas de tiempo pueden manipularse (por ejemplo, borrando archivos prefetch), y una entrada ausente no prueba que un programa no se ejecutara si los .pf se eliminaron después. Combina con Amcache, ShimCache y registros de eventos para corroborar.

¿Se envía algo a un servidor?

No. El analizador compila un decodificador prefetch puro en Rust (frnsc-prefetch) a WebAssembly y lo ejecuta en un Web Worker dentro de tu navegador. Los bytes nunca salen de tu máquina. Sin backend, sin telemetría sobre el contenido, sin subidas.

¿Qué versiones de Windows se soportan?

Todas las versiones SCCA desde Windows XP hasta Windows 11: v17 (XP/Vista/7, sin comprimir), v23 (Win8), v26 (Win8.1), v30 (Win10) y v31 (Win11). Tanto archivos comprimidos como sin comprimir se detectan automáticamente.