Blog
- Herramientas de parseo de Windows Prefetch comparadas — PECmd, WinPrefetchView y parsers en navegador
PECmd, WinPrefetchView, libscca y parsers online — para qué es buena cada una, qué se le escapa y cuándo recurrir a cuál.
2026-05-28
- Antiforense en Prefetch: lo que los atacantes pueden ocultar y lo que no
EnablePrefetcher=0, borrar archivos .pf, el truco de renombrar-antes-de-ejecutar. La visión de un practicante sobre qué ataques contra Prefetch funcionan y cuáles dejan un rastro que se puede seguir.
2026-05-27
- Prefetch como evidencia: qué prueban realmente los archivos .pf
Windows Prefetch es el artefacto único más fiable para probar ejecución en DFIR, pero solo si entiendes lo que no dice. Una mirada práctica a los archivos .pf.
2026-05-27
- Por qué Windows Server no tiene archivos prefetch — PrefetchParameters y SysMain explicados
Prefetch está apagado por defecto en Windows Server, lo controla el registro y está ligado al servicio SysMain. Aquí explicamos qué lo gobierna y cómo verificar el estado en un sistema vivo.
2026-05-27
- El formato de archivo Windows Prefetch a lo largo de las versiones
SCCA, compresión MAM, secciones A a D y el campo de versión. Un repaso práctico de cómo han cambiado los archivos .pf desde XP hasta Win11 y qué parsers siguen al día.
2026-05-27
- La lista de carga de archivos: lo que cada .pf puede contarte sobre lo que hizo un binario
La lista de carga de Prefetch es la parte que la mayoría de analistas sobrevuela. Es también donde se esconden a plena vista los DLL hijacks, las configs de malware y las aperturas de documentos. Una guía práctica.
2026-05-27
- ¿El programa realmente se ejecutó? Prefetch y la ejecución de procesos
Prefetch es el artefacto único más fuerte para probar ejecución en DFIR de Windows. Aquí explicamos dónde es sólido el argumento, dónde se rompe y cómo reforzarlo con EVTX 4688 y Sysmon.
2026-05-27
- Investigar ransomware con Prefetch: un recorrido
Un caso de ransomware ficticio pero realista, reconstruido a partir de Prefetch. Las ocho marcas temporales, la lista de carga del cifrador, las herramientas de movimiento lateral. Cómo los archivos .pf cuentan la historia.
2026-05-27
- SuperFetch, SysMain y la confusión Prefetch en Win10/11
SuperFetch pasó a llamarse SysMain en Win10 1709. Prefetch está parcialmente deshabilitado en SSDs. Aquí lo que hacen realmente los interruptores del registro y qué verificar antes de fiarte de un .pf.
2026-05-27
- Detectar manipulación y antiforense en Windows Prefetch
Los atacantes borran, plantan y falsifican archivos .pf para ocultar evidencia de ejecución. Aquí explicamos cómo detectar las señales habituales y qué dice cada una.
2026-05-26
- Cómo analizar archivos prefetch de Windows — un recorrido forense
Una guía práctica paso a paso para leer archivos .pf en busca de evidencia de ejecución: qué mirar, qué ignorar y cómo corroborar los hallazgos.
2026-05-25
- Prefetch vs Amcache vs ShimCache — elegir el artefacto de ejecución adecuado
Tres artefactos de Windows registran la ejecución de programas. Se solapan, pero cada uno captura algo que los otros dos pasan por alto. Aquí va cuándo recurrir a cuál.
2026-05-24
- Qué cambió en Windows Prefetch v30 y v31 (Windows 10 y 11)
El campo de versión SCCA es el número aislado más útil en un archivo prefetch. Aquí explicamos qué significa cada versión y qué vigilar al parsear v30 (Win10) y v31 (Win11).
2026-05-23
- Dentro de la compresión MAM — cómo Windows 8+ empaqueta los archivos prefetch
Los archivos .pf modernos empiezan con una firma MAM y un payload comprimido con Xpress Huffman. Aquí explicamos cómo funciona el framing, por qué se introdujo y qué tiene que hacer un parser para leerlo.
2026-05-22
- Cómo se calcula el hash de Windows Prefetch
El sufijo de 8 caracteres en cada nombre de archivo .pf es un hash derivado de la ruta, y el algoritmo ha cambiado tres veces. Aquí explicamos qué calcula y por qué importa para la forense.
2026-05-21
- Entendiendo Windows Prefetch para análisis forense
Qué registran los archivos .pf, por qué importan y cómo este parser los lee íntegramente en tu navegador.
2026-05-20