Jedná se o dočasné soubory uložené v názvu systémové složky jako přednastavené. Prefetch je funkce správy paměti. Do složky prefetch se ukládá protokol o často spouštěných aplikacích v počítači. Protokol je zašifrován ve formátu Hash, takže nikdo nemůže snadno dešifrovat data aplikace. Tyto soubory lze použít k získání časového razítka a dalších prostředků spotřebovaných při spuštění souboru.
Funkce a formát souborů Prefetch
- Všechny tyto soubory jsou uloženy ve složce ROOT/Windows/Prefetch a většina souborů má příponu PF
- Například: PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf. Soubor prefetch pro PYTHON_3.6.1-AMD64.EXE by se zobrazil jako PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf,
- 6F01AFF6 je hash cesty, odkud byl soubor spuštěn. Tato cesta je zašifrována pomocí různých typů hašovacích funkcí.
- Skript Prefetchcount.py lze použít k rozbalení souborů prefetch. Decompressed files can be easily converted into understandable String format
- Maximum number of prefetch files
- Windows XP to Windows 7 =128
- Windows 8 to Windows 10=1024
6. On reaching the limit it automatically deletes from the folder.
How To Check Prefetch Files
Step 1: Press the Windows+R button and search prefetch.
Press Window+R Search prefetch
Step 2: C:\Windows\Prefetch –This location folder contains all the prefetch files in your local machine.
These Files are the Prefetch Files
Information Stored In Prefetch Files
Prefetch files stored all the necessary information regarding the executable application. So, that will help to decrease the booting time of the application. Like cache memory in your machine
- Run Count: Celkový počet spuštění aplikace v počítači.
- Prefetch Hash: Hodnota hashe /logu generovaná různými hashovacími funkcemi v závislosti na verzích prefetch.
- Načtené prostředky: Další soubory načtené spolu se soubory prefetch
- Verze: Verze prefetch znamená, jak má být provedeno šifrování při vytváření souborů prefetch
- Časové razítko:
- Cesta k zařízení svazku: Poslední čas, kdy byly soubory v systému spuštěny
- Cesta k zařízení svazku:
Verze přednastavení
Hlavním cílem zavedení různých verzí souborů přednastavení je zvýšení stability souborů přednastavení:
Některé verze jsou :
- 17: Windows XP a Windows 2003
- 23: Vista a Windows 7
- 26: Windows 8.1
- 30: Windows 10
Použití souborů Prefetch
- Tyto soubory slouží ke studiu chování Aplikace, to znamená, která aplikace se spouští automaticky a která ne
- Soubory Prefetch lze použít pro forenzní analýzu konkrétní Aplikace.
- Pomocí souborů předběžného načtení lze studovat analýzu virů.
Výhody souborů předběžného načtení:
- Jelikož se jedná o užitečnou funkci okna, existuje jen velmi málo výhod souborů předběžného načtení.
- Existuje mnoho nástrojů pro čištění, které automaticky odstraňují soubory předběžného načtení. Díky tomu je Systém rychlejší, ale pouze jednou a pak se po vytvoření prefetch opět vrátí k práci.
- Pokud je dosaženo kapacitního limitu souborů prefetch, automaticky se odstraní všechny informace a soubory prefetch. Kapacita závisí na operačním systému počítače.
Cons Of Prefetch Files
- Zajišťuje šifrované informace o spustitelné aplikaci. So that no one can easily access the information.
- Processing Power of the CPU increases as well as decrease the disk read and write speed.
- We can change the activity of the prefetch easily
- The EnablePrefetcher value can set to be one of the following:
- 0 = Disabled
- 1 = Application launch prefetching enabled
- 2= Boot prefetching enabled
- 3 = Applaunch and Boot enabled (Optimal and Default
- The EnablePrefetcher value can set to be one of the following: