📜  在Windows中预取文件

📅  最后修改于: 2021-04-16 06:07:31             🧑  作者: Mango

这些是作为预取存储在System文件夹名称中的临时文件。预取是一种内存管理功能。有关计算机上经常运行的应用程序的日志存储在prefetch文件夹中。日志以哈希格式加密,因此没有人可以轻松解密应用程序的数据。这些文件可用于提取时间戳和文件执行时消耗的其他资源。

预取文件的功能和格式

  1. 这些文件都存储在ROOT / Windows / Prefetch文件夹中,并且大多数文件都有PF扩展名
  2. 例如: PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf。 PYTHON_3.6.1-AMD64.EXE的预取文件将显示为PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf,
  3. 6F01AFF6是文件执行路径的哈希值。此路径使用不同类型的哈希函数进行加密。
  4. Prefetchcount.py脚本可用于解压缩预取文件。解压缩的文件可以轻松地转换为可以理解的字符串格式
  5. 最大预取文件数
    1. Windows XP至Windows 7 = 128
    2. Windows 8至Windows 10 = 1024

6.达到限制后,它将自动从文件夹中删除。

如何检查预取文件

步骤1:按Windows + R按钮并搜索预取。

搜索预取

按Window + R搜索预取

步骤2: C:\ Windows \ Prefetch 此位置文件夹包含本地计算机中的所有预取文件。

位置文件夹提取文件

这些文件是预取文件

存储在预取文件中的信息

预取文件存储了有关可执行应用程序的所有必要信息。因此,这将有助于减少应用程序的启动时间。就像机器中的缓存一样

  1. 运行次数:应用程序在您的计算机上运行的总次数。
  2. 预取哈希:由不同的哈希函数生成的哈希值/日志值取决于预取版本。
  3. 加载的资源:额外的文件与预取文件一起加载
  4. 版本:预取的版本表示制作预取文件时如何进行加密
  5. 时间戳:在系统上执行文件的最后时间。
  6. 卷设备路径:卷或逻辑驱动器是执行文件的单个可访问存储区域。

预取版本

引入不同版本的预取文件以提高预取文件的稳定性的主要目的是:

一些版本是:

  1. 17: Windows XP和Windows 2003
  2. 23: Vista和Windows 7
  3. 26: Windows 8.1
  4. 30: Windows 10

预取文件的使用

  1. 这些文件用于研究应用程序的行为,意味着哪个应用程序自动执行或不执行等
  2. 预取文件可用于特定应用程序的取证分析。
  3. 可以在预取文件的帮助下研究病毒的分析。

预取文件的优点:

  1. 作为窗口的实用功能,预取文件的优点很少。
  2. 有许多清理工具会自动删除预取文件。这样可以使系统更快,但只有在预取后再创建一次才能进行该工作。
  3. 当预取文件的容量达到限制时,它将自动删除所有信息并预取文件。容量取决于机器的操作系统。

预取文件的缺点

  1. 提供有关可执行应用程序的加密信息。这样,任何人都无法轻松访问信息。
  2. CPU的处理能力增加,同时磁盘读取和写入速度降低。
  3. 我们可以轻松更改预取的活动
    1. 可以将EnablePrefetcher值设置为以下之一:
      • 0 =禁用
      • 1 =启用应用程序启动预取
      • 2 =启用引导预取
      • 3 =启用启动和启动(最佳和默认

EnablePrefetcher