这些是作为预取存储在System文件夹名称中的临时文件。预取是一种内存管理功能。有关计算机上经常运行的应用程序的日志存储在prefetch文件夹中。日志以哈希格式加密，因此没有人可以轻松解密应用程序的数据。这些文件可用于提取时间戳和文件执行时消耗的其他资源。

预取文件的功能和格式

1. 这些文件都存储在ROOT / Windows / Prefetch文件夹中，并且大多数文件都有PF扩展名
2. 例如： PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf。 PYTHON_3.6.1-AMD64.EXE的预取文件将显示为PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf，
3. 6F01AFF6是文件执行路径的哈希值。此路径使用不同类型的哈希函数进行加密。
4. Prefetchcount.py脚本可用于解压缩预取文件。解压缩的文件可以轻松地转换为可以理解的字符串格式
5. 最大预取文件数
   1. Windows XP至Windows 7 = 128
   2. Windows 8至Windows 10 = 1024

6.达到限制后，它将自动从文件夹中删除。

如何检查预取文件

步骤1：按Windows + R按钮并搜索预取。

按Window + R搜索预取

步骤2： C：\ Windows \ Prefetch –此位置文件夹包含本地计算机中的所有预取文件。

这些文件是预取文件

存储在预取文件中的信息

预取文件存储了有关可执行应用程序的所有必要信息。因此，这将有助于减少应用程序的启动时间。就像机器中的缓存一样

1. 运行次数：应用程序在您的计算机上运行的总次数。
2. 预取哈希：由不同的哈希函数生成的哈希值/日志值取决于预取版本。
3. 加载的资源：额外的文件与预取文件一起加载
4. 版本：预取的版本表示制作预取文件时如何进行加密
5. 时间戳：在系统上执行文件的最后时间。
6. 卷设备路径：卷或逻辑驱动器是执行文件的单个可访问存储区域。

预取版本

引入不同版本的预取文件以提高预取文件的稳定性的主要目的是：

一些版本是：

1. 17： Windows XP和Windows 2003
2. 23： Vista和Windows 7
3. 26： Windows 8.1
4. 30： Windows 10

预取文件的使用

1. 这些文件用于研究应用程序的行为，意味着哪个应用程序自动执行或不执行等
2. 预取文件可用于特定应用程序的取证分析。
3. 可以在预取文件的帮助下研究病毒的分析。

预取文件的优点：

1. 作为窗口的实用功能，预取文件的优点很少。
2. 有许多清理工具会自动删除预取文件。这样可以使系统更快，但只有在预取后再创建一次才能进行该工作。
3. 当预取文件的容量达到限制时，它将自动删除所有信息并预取文件。容量取决于机器的操作系统。

预取文件的缺点

1. 提供有关可执行应用程序的加密信息。这样，任何人都无法轻松访问信息。
2. CPU的处理能力增加，同时磁盘读取和写入速度降低。
3. 我们可以轻松更改预取的活动
   1. 可以将EnablePrefetcher值设置为以下之一：
      • 0 =禁用
      • 1 =启用应用程序启动预取
      • 2 =启用引导预取
      • 3 =启用启动和启动(最佳和默认