O Windows usa o Prefetch (pré-busca) para melhorar o tempo de inicialização de aplicativos e o tempo de inicialização do sistema operacional. Cada vez que um aplicativo é executado, o Windows monitora quais arquivos são acessados e essas informações são então usadas para armazenar esses arquivos no disco de maneira otimizada, permitindo que sejam lidos mais rapidamente no futuro.
Os arquivos de Prefetch foram introduzidos no Windows XP. No Windows XP, Vista e 7, o número de arquivos de Prefetch é limitado a 128, enquanto no Windows 8 e superior é de até 1.024.
Para uma análise forense, esses arquivos podem ser valiosos, pois contêm informações sobre quais aplicativos foram executados, quando e com que frequência.
Os arquivos de informações ficam em c:\Windows\Prefetch.
Os metadados que podem ser encontrados em um único arquivo de Prefetch são os seguintes:
- Nome do executável
- Hash de oito caracteres do caminho do executável.
- 🚨O caminho do arquivo executável
- 🚨Carimbo de data/hora de criação, modificação e acesso do executável
- 🚨Contagem de execuções (número de vezes que o aplicativo foi executado)
- 🚨Último tempo de execução
- O carimbo de data/hora dos últimos 8 tempos de execução (1 último tempo de execução e outros 7 outros últimos tempos de execução)
- Informações de volume
- Arquivos referenciados pelo executável
- Diretórios referenciados pelo executável
Analise de prefetch com PECmd
PECmd (Prefetch Explorer Command Line) é uma ferramenta de linha de comando de Eric Zimmerman, usada para análise em massa de arquivos de Prefetch. Essa ferramenta também pode exportar seus artefatos de Prefetch para .csv e .css.
https://ericzimmerman.github.io/#!index.md
OU no https://github.com/EricZimmerman/PECmd
PECmd.exe -f c:\Windows\Prefetch\FREERASER.EXE-3054FEB4.pf
PECmd.exe -d c:\Windows\Prefetch --csv c:\tools\ --csvf Prefetch.csv
Você pode abrir o *.csv com o “timeline explorer” veja como usar em Investigando eventos de log com Timeline Explorer
Seja o primeiro a comentar