GeeksforGeeks

Dit zijn de tijdelijke bestanden die als prefetch worden opgeslagen in de mapnaam System. Prefetch is een functie voor geheugenbeheer. Het logboek over de vaak draaiende toepassing op uw machine wordt opgeslagen in de prefetch-map. Het logboek is versleuteld in Hash Format, zodat niemand de gegevens van de toepassing gemakkelijk kan ontcijferen. Deze bestanden kunnen worden gebruikt om de tijdstempel en andere bronnen te extraheren die worden verbruikt wanneer het bestand wordt uitgevoerd.

Feature en formaat van prefetch-bestanden

1. Deze bestanden worden allemaal opgeslagen in de map ROOT/Windows/Prefetch en de meeste hebben de extensie PF
2. Voorbeeld: PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf. Het prefetch-bestand voor PYTHON_3.6.1-AMD64.EXE zou verschijnen als PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf,
3. 6F01AFF6 is een hash van het pad van waaruit het bestand werd uitgevoerd. Dit pad is versleuteld met verschillende soorten hashing-functies.
4. Prefetchcount.py script kan worden gebruikt om de prefetch-bestanden te decomprimeren. Decompressed files can be easily converted into understandable String format
5. Maximum number of prefetch files
   1. Windows XP to Windows 7 =128
   2. Windows 8 to Windows 10=1024

6. On reaching the limit it automatically deletes from the folder.

How To Check Prefetch Files

Step 1: Press the Windows+R button and search prefetch.

Step 2: C:\Windows\Prefetch –This location folder contains all the prefetch files in your local machine.

Information Stored In Prefetch Files

Prefetch files stored all the necessary information regarding the executable application. So, that will help to decrease the booting time of the application. Like cache memory in your machine

1. Run Count: Het totaal aantal keren dat de applicatie draait op uw machine.
2. Prefetch Hash: Hash Waarde / log waarde gegenereerd door de Verschillende hash functie is afhankelijk van de prefetch versies.
3. Geladen Resources: Extra bestanden geladen samen met de prefetch-bestanden
4. Versie: Versie van de prefetch betekent hoe encryptie moet worden gedaan tijdens het maken van prefetch-bestanden
5. Timestamp: De laatste keer dat de bestanden werden uitgevoerd op het systeem.
6. Volume Device Path: Volume of logisch station is een enkel toegankelijk opslaggebied waar het bestand werd uitgevoerd.

Prefetch-versies

Het belangrijkste doel achter de invoering van verschillende versies van de prefetch-bestanden om de stabiliteit van de prefetch-bestanden te vergroten:

Enkele versies zijn :

1. 17: Windows XP en Windows 2003
2. 23: Vista en Windows 7
3. 26: Windows 8.1
4. 30: Windows 10

Uses Of Prefetch Files

1. Deze bestanden worden gebruikt om het gedrag van de Applicatie te bestuderen betekent welke applicatie automatisch wordt uitgevoerd of niet etc
2. Prefetch bestanden kunnen worden gebruikt voor forensische analyse van de specifieke Applicatie.
3. Analyse van de virussen kan worden bestudeerd met behulp van prefetch-bestanden.

Pros van Prefetch Files:

1. Als een hulpprogramma functie van het venster zijn er zeer weinig voors van de prefetch-bestanden.
2. Er zijn veel opschoningstools die automatisch verwijderen van de prefetch-bestanden. Dit maakt het systeem sneller, maar slechts een keer dan weer na prefetch creëert weer om hun werk te doen.
3. Wanneer de capaciteitslimiet van de prefetch-bestanden bereikt het automatisch verwijderen van alle informatie en prefetch-bestanden. Capaciteit is afhankelijk van het besturingssysteem van de machine.

Cons Of Prefetch Files

1. Voorzie versleutelde informatie over de uitvoerbare toepassing. So that no one can easily access the information.
2. Processing Power of the CPU increases as well as decrease the disk read and write speed.
3. We can change the activity of the prefetch easily
   1. The EnablePrefetcher value can set to be one of the following:
      • 0 = Disabled
      • 1 = Application launch prefetching enabled
      • 2= Boot prefetching enabled
      • 3 = Applaunch and Boot enabled (Optimal and Default