GeeksforGeeks

Sono i file temporanei memorizzati nel nome della cartella System come prefetch. Il prefetch è una funzione di gestione della memoria. Il log sull’applicazione che gira frequentemente sulla tua macchina è memorizzato nella cartella prefetch. Il registro è criptato in formato Hash in modo che nessuno possa facilmente decifrare i dati dell’applicazione. Questi file possono essere utilizzati per estrarre il timestamp e altre risorse consumate quando il file viene eseguito.

Caratteristica e formato dei file di prefetch

1. Questi file sono tutti memorizzati nella cartella ROOT/Windows/Prefetch e la maggior parte dei file ha estensione PF
2. per esempio: PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf. Il file di prefetch per PYTHON_3.6.1-AMD64.EXE apparirebbe come PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf,
3. 6F01AFF6 è un hash del percorso da dove il file è stato eseguito. Questo percorso è criptato con diversi tipi di funzioni di hash.
4. Lo script Prefetchcount.py può essere usato per decomprimere i file di prefetch. Decompressed files can be easily converted into understandable String format
5. Maximum number of prefetch files
   1. Windows XP to Windows 7 =128
   2. Windows 8 to Windows 10=1024

6. On reaching the limit it automatically deletes from the folder.

How To Check Prefetch Files

Step 1: Press the Windows+R button and search prefetch.

Step 2: C:\Windows\Prefetch –This location folder contains all the prefetch files in your local machine.

Information Stored In Prefetch Files

Prefetch files stored all the necessary information regarding the executable application. So, that will help to decrease the booting time of the application. Like cache memory in your machine

1. Run Count: Il numero totale di volte che l’applicazione viene eseguita sulla vostra macchina.
2. Prefetch Hash: Valore Hash /log generato dalla funzione hash differente dipende dalle versioni prefetch.
3. Risorse caricate: File extra caricati insieme ai file di prefetch
4. Versione: Versione del prefetch significa come la crittografia da fare mentre si fanno i file di prefetch
5. Timestamp: L’ultima volta che i file sono stati eseguiti sul sistema.
6. Volume Device Path: Volume o unità logica è una singola area di archiviazione accessibile dove il file è stato eseguito.

Versioni prefetch

L’obiettivo principale dietro di introdurre diverse versioni dei file prefetch per aumentare la stabilità dei file prefetch:

Alcune versioni sono :

1. 17: Windows XP e Windows 2003
2. 23: Vista e Windows 7
3. 26: Windows 8.1
4. 30: Windows 10

Usi dei file di prefetch

1. Questi file vengono utilizzati per studiare il comportamento dell’applicazione, ovvero quale applicazione viene eseguita automaticamente o meno, ecc
2. I file di prefetch possono essere utilizzati per l’analisi forense di una particolare applicazione.
3. L’analisi dei virus può essere studiata con l’aiuto dei file prefetch.

Pro dei file prefetch:

1. Essendo una caratteristica di utilità della finestra ci sono pochi pro dei file prefetch.
2. Ci sono molti strumenti di pulizia che eliminano automaticamente i file prefetch. Questo rende il sistema più veloce, ma solo una volta poi di nuovo dopo il prefetch crea di nuovo per fare il suo lavoro.
3. Quando il limite di capacità dei file di prefetch raggiunto, elimina automaticamente tutte le informazioni e i file di prefetch. La capacità dipende dal sistema operativo della macchina.

Cons di Prefetch Files

1. Fornisce informazioni criptate sull’applicazione eseguibile. So that no one can easily access the information.
2. Processing Power of the CPU increases as well as decrease the disk read and write speed.
3. We can change the activity of the prefetch easily
   1. The EnablePrefetcher value can set to be one of the following:
      • 0 = Disabled
      • 1 = Application launch prefetching enabled
      • 2= Boot prefetching enabled
      • 3 = Applaunch and Boot enabled (Optimal and Default