23°C 16°/ 24°
Microsoft · Microsoft · Windows

Prefetch no Windows: informação “oculta” sobre as aplicações

5 Comentários

O Prefetch é uma funcionalidade do Windows que tem como objetivo acelerar o carregamento dos programas e a inicialização do próprio sistema operativo. Saiba mais sobre este mecanismo.


O Prefetch funciona com base no registo de informações dos ficheiros e recursos que os programas mais utilizados necessitam. Essa informação é armazenada em ficheiros com extensão .pf no diretório C:\Windows\Prefetch.

Sempre que arranja o sistema ou executar uma aplicação, o Windows usa os dados guardados para carregar antecipadamente esses ficheiros para a memória RAM, evitando leituras desnecessárias do disco, acelerando assim o processo.

Devo eliminar os ficheiros da pasta Prefetch?

Não é recomendado apagar manualmente os ficheiros da pasta Prefetch. O Windows gere automaticamente esse diretório, removendo ficheiros antigos e procedendo à criação de novos conforme necessário. Apagar estes ficheiros não traz benefícios de desempenho; pelo contrário, pode deixar o sistema mais lento temporariamente, pois o Windows terá de voltar a criar todos os ficheiros de prefetch à medida que utiliza os programas novamente.

No que diz respeito à informação mantida nestes ficheiros destaque para:

  • Nome do executável e caminho de execução
  • Hash do caminho do executável
  • Data/hora de criação, modificação e último acesso
  • Número de execuções
  • Data/hora das últimas oito execuções
  • Lista de ficheiros e diretórios acedidos pelo executável

Valor Forense dos ficheiros Prefetch

  • Evidência de execução
    • Permitem provar que determinado programa foi executado, mesmo que o executável já tenha sido removido do sistema.
  • Reconstrução de eventos
    • Através dos carimbos de data/hora, é possível criar uma linha temporal detalhada das ações do utilizador ou de um atacante.
  • Deteção de malware
    • Prefetch regista execuções de ferramentas de limpeza, scripts maliciosos, ou programas de ataque, mesmo que tentem apagar rastos.
  • Identificação de ficheiros acedidos
    • Revelam que outros ficheiros e diretórios foram utilizados durante a execução de um programa, útil para rastrear movimentação lateral ou exfiltração de dados.

Os Ficheiros Prefetch podem ser apagados manualmente ou por ferramentas de limpeza, afetando assim a integridade da evidência ou até mesmo toda a evidência.

Para a visualização do conteúdo destes ficheiros com extensão .pf, aconselhamos o uso da ferramenta WinPrefetchView.

Autor: Pedro Pinto
Partilhar:
Tags:
forense Prefetch
Bill Gates acusa Elon Musk de pôr em perigo crianças carenciadas
Artigo anterior

Bill Gates acusa Elon Musk de pôr em perigo crianças carenciadas
Análise Xiaomi Watch S4: um relógio para os utilizadores casuais e entusiastas do desporto
Próximo artigo

Análise Xiaomi Watch S4: um relógio para os utilizadores casuais e entusiastas do desporto
Também pode gostar
PUB

Comentários

5

Responder a SoLinux Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Me
    Me

    Porque é que a imagem do laptop está a fazer-me tanta confusão a nível da perspectiva?

    Responder
    1. Avatar de JR
      JR

      Está estranho…

      Responder
    2. Avatar de Aires
      Aires

      Acredito q seja a sombra por de trás do portátil q não tem a mesma direção q a sombra do canto da parede.

      Responder
  2. Avatar de Aziado
    Aziado

    Infelizmente o Windows não apaga os respetivos ficheiros .pf, por mais antigos que sejam. O que faz com que esta pasta se torne numa pasta de ficheiros temporários. Mesmo depois de se desinstalar uma aplicação, o ficheiros .pf, relativos aos executáveis da aplicação, ficam internamente no disco, até serem apagados manualmente.

    Responder
  3. Avatar de SoLinux
    SoLinux

    Este também foi outro dos motivos para migrar para outro SO…o “amigo” prefetch colocava-me imensamente as máquinas lentas…por vezes com o HD ocupado a 100%…lá ia ao ctrl-alt-del e terminava o processo (demorando a abrir o mesmo e a aceitar terminar o mesmo)…passado 10 min estava no mesmo. Máquinas i7 a comportarem-se como Pentium III…eu a não conseguir “mandar” no meu próprio hardware…isto e a luta constante com drivers de impressoras após alguns updates ditou o fim do reinado da MS por estas bandas

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.