Dies sind die temporären Dateien, die im Systemordner als Prefetch gespeichert werden. Prefetch ist eine Funktion zur Speicherverwaltung. Im Prefetch-Ordner wird das Protokoll über die häufig ausgeführten Anwendungen auf Ihrem Rechner gespeichert. Das Protokoll ist im Hash-Format verschlüsselt, so dass niemand die Daten der Anwendung einfach entschlüsseln kann. Diese Dateien können verwendet werden, um Zeitstempel und andere Ressourcen zu extrahieren, die bei der Ausführung der Datei verbraucht werden.
Funktion und Format der Prefetch-Dateien
- Diese Dateien werden alle im Ordner ROOT/Windows/Prefetch gespeichert und die meisten Dateien haben die Erweiterung PF
- Zum Beispiel: PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf. Die Prefetch-Datei für PYTHON_3.6.1-AMD64.EXE würde als PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf erscheinen,
- 6F01AFF6 ist ein Hash des Pfades, von dem aus die Datei ausgeführt wurde. Dieser Pfad wird mit verschiedenen Arten von Hashing-Funktionen verschlüsselt.
- Das Skript prefetchcount.py kann zum Dekomprimieren der Prefetch-Dateien verwendet werden. Decompressed files can be easily converted into understandable String format
- Maximum number of prefetch files
- Windows XP to Windows 7 =128
- Windows 8 to Windows 10=1024
6. On reaching the limit it automatically deletes from the folder.
How To Check Prefetch Files
Step 1: Press the Windows+R button and search prefetch.
Press Window+R Search prefetch
Step 2: C:\Windows\Prefetch –This location folder contains all the prefetch files in your local machine.
These Files are the Prefetch Files
Information Stored In Prefetch Files
Prefetch files stored all the necessary information regarding the executable application. So, that will help to decrease the booting time of the application. Like cache memory in your machine
- Run Count: Die Gesamtzahl der Laufzeiten der Anwendung auf Ihrem Rechner.
- Prefetch Hash: Hash-Wert /Log-Wert, der von der verschiedenen Hash-Funktion erzeugt wird, hängt von den Prefetch-Versionen ab.
- Geladene Ressourcen: Zusätzliche Dateien, die zusammen mit den Prefetch-Dateien geladen werden
- Version: Version des Prefetch bedeutet, wie die Verschlüsselung bei der Erstellung der Prefetch-Dateien durchgeführt werden soll
- Timestamp: Der letzte Zeitpunkt, zu dem die Dateien auf dem System ausgeführt wurden.
- Volume Device Path: Volume oder logisches Laufwerk ist ein einzelner zugänglicher Speicherbereich, in dem die Datei ausgeführt wurde.
Prefetch-Versionen
Das Hauptziel hinter der Einführung verschiedener Versionen der Prefetch-Dateien, um die Stabilität der Prefetch-Dateien zu erhöhen:
Einige Versionen sind :
- 17: Windows XP und Windows 2003
- 23: Vista und Windows 7
- 26: Windows 8.1
- 30: Windows 10
Verwendung von Prefetch-Dateien
- Diese Dateien werden verwendet, um das Verhalten der Anwendung zu untersuchen, d.h. welche Anwendung automatisch ausgeführt wird oder nicht usw.
- Prefetch-Dateien können für die forensische Analyse der jeweiligen Anwendung verwendet werden.
- Die Analyse von Viren kann mit Hilfe von Prefetch-Dateien untersucht werden.
Profis von Prefetch-Dateien:
- Da es sich um ein Dienstprogramm des Fensters handelt, gibt es nur sehr wenige Pros der Prefetch-Dateien.
- Es gibt viele Aufräum-Tools, die die Prefetch-Dateien automatisch löschen. Dies macht das System schneller, aber nur einmal dann wieder nach prefetch schafft wieder dort Arbeit zu tun.
- Wenn die Kapazitätsgrenze von prefetch Dateien erreicht es automatisch alle Informationen und prefetch Dateien zu löschen. Die Kapazität hängt vom Betriebssystem des Rechners ab.
Nachteile von Prefetch-Dateien
- Bieten Sie verschlüsselte Informationen über die ausführbare Anwendung. So that no one can easily access the information.
- Processing Power of the CPU increases as well as decrease the disk read and write speed.
- We can change the activity of the prefetch easily
- The EnablePrefetcher value can set to be one of the following:
- 0 = Disabled
- 1 = Application launch prefetching enabled
- 2= Boot prefetching enabled
- 3 = Applaunch and Boot enabled (Optimal and Default
- The EnablePrefetcher value can set to be one of the following:
