Volver a todos los artículos

Entendiendo Windows Prefetch

Los archivos Windows Prefetch (.pf) viven en C:\Windows\Prefetch\ y registran metadatos sobre cada ejecutable que el sistema operativo ha iniciado. Son una de las fuentes más fiables de artefactos de ejecución disponibles para un investigador forense: un programa no necesita estar instalado, ser persistente ni siquiera seguir presente en disco para dejar una entrada de prefetch.

Cada .pf se llama <EJECUTABLE>-<HASH>.pf, donde el hash de ocho caracteres se deriva de la ruta completa del ejecutable. Dos copias del mismo binario lanzadas desde directorios distintos producen dos archivos de prefetch diferentes.

Lo que extrae el analizador

Para cada .pf que sueltas, la herramienta extrae:

  • Nombre y ruta del ejecutable tal como aparecen en el encabezado
  • Versión SCCA (17 = XP/Vista/7, 23 = Win8, 26 = Win8.1, 30 = Win10, 31 = Win11)
  • Número de ejecuciones — cuántas veces se ha lanzado el programa
  • Últimas ejecuciones — las marcas de tiempo UTC más recientes (Win8.1+ guarda las últimas 8)
  • Información de volúmenes — ruta del dispositivo, número de serie y fecha de creación de cada volumen tocado
  • Archivos referenciados — cada DLL, archivo de configuración y recurso cargado por el ejecutable durante la captura

Por qué WebAssembly en el cliente

Los archivos .pf son evidencia forense. Enviarlos a un servicio externo para analizarlos rompe la cadena de custodia y expone artefactos potencialmente sensibles. Esta herramienta compila un analizador de Prefetch puro en Rust (frnsc-prefetch) a WebAssembly y lo ejecuta en un Web Worker dentro de tu navegador. Los bytes nunca salen de tu máquina.

Compresión en Win 8+

A partir de Windows 8, los archivos prefetch se almacenan comprimidos con el algoritmo Xpress Huffman y se prefijan con la firma MAM. El analizador los detecta y descomprime de forma transparente — no necesitas preprocesar nada antes de soltar la carpeta.

Pruébalo

Suelta el contenido de una carpeta Prefetch en la página principal y obtienes una tabla ordenable y filtrable de cada ejecución de programa, con un detalle completo de volúmenes y archivos cargados. Pulsa Descargar JSON para exportar los datos analizados a tu cadena de herramientas preferida.