这些是作为预取存储在System文件夹名称中的临时文件。预取是一种内存管理功能。有关计算机上经常运行的应用程序的日志存储在prefetch文件夹中。日志以哈希格式加密,因此没有人可以轻松解密应用程序的数据。这些文件可用于提取时间戳和文件执行时消耗的其他资源。
预取文件的功能和格式
- 这些文件都存储在ROOT / Windows / Prefetch文件夹中,并且大多数文件都有PF扩展名
- 例如: PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf。 PYTHON_3.6.1-AMD64.EXE的预取文件将显示为PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf,
- 6F01AFF6是文件执行路径的哈希值。此路径使用不同类型的哈希函数进行加密。
- Prefetchcount.py脚本可用于解压缩预取文件。解压缩的文件可以轻松地转换为可以理解的字符串格式
- 最大预取文件数
- Windows XP至Windows 7 = 128
- Windows 8至Windows 10 = 1024
6.达到限制后,它将自动从文件夹中删除。
如何检查预取文件
步骤1:按Windows + R按钮并搜索预取。
步骤2: C:\ Windows \ Prefetch –此位置文件夹包含本地计算机中的所有预取文件。
存储在预取文件中的信息
预取文件存储了有关可执行应用程序的所有必要信息。因此,这将有助于减少应用程序的启动时间。就像机器中的缓存一样
- 运行次数:应用程序在您的计算机上运行的总次数。
- 预取哈希:由不同的哈希函数生成的哈希值/日志值取决于预取版本。
- 加载的资源:额外的文件与预取文件一起加载
- 版本:预取的版本表示制作预取文件时如何进行加密
- 时间戳:在系统上执行文件的最后时间。
- 卷设备路径:卷或逻辑驱动器是执行文件的单个可访问存储区域。
预取版本
引入不同版本的预取文件以提高预取文件的稳定性的主要目的是:
一些版本是:
- 17: Windows XP和Windows 2003
- 23: Vista和Windows 7
- 26: Windows 8.1
- 30: Windows 10
预取文件的使用
- 这些文件用于研究应用程序的行为,意味着哪个应用程序自动执行或不执行等
- 预取文件可用于特定应用程序的取证分析。
- 可以在预取文件的帮助下研究病毒的分析。
预取文件的优点:
- 作为窗口的实用功能,预取文件的优点很少。
- 有许多清理工具会自动删除预取文件。这样可以使系统更快,但只有在预取后再创建一次才能进行该工作。
- 当预取文件的容量达到限制时,它将自动删除所有信息并预取文件。容量取决于机器的操作系统。
预取文件的缺点
- 提供有关可执行应用程序的加密信息。这样,任何人都无法轻松访问信息。
- CPU的处理能力增加,同时磁盘读取和写入速度降低。
- 我们可以轻松更改预取的活动
- 可以将EnablePrefetcher值设置为以下之一:
- 0 =禁用
- 1 =启用应用程序启动预取
- 2 =启用引导预取
- 3 =启用启动和启动(最佳和默认
- 可以将EnablePrefetcher值设置为以下之一: