Windows Prefetch es una característica de optimización de rendimiento en los sistemas operativos Windows que se introdujo por primera vez en Windows XP. El objetivo de Windows Prefetch es mejorar el tiempo de carga de los programas y aplicaciones al predecir cuáles son los archivos y datos que se necesitarán con más frecuencia para almacenarlos en la memoria caché del disco duro y, así, obtener un acceso más rápido.
Ahora veremos un poco más a fondo, que son los archivos prefetch, cómo visualizar esta herramienta y qué usos tiene.
Algunas generalidades
- La misión de Windows Prefetch es incrementar el rendimiento del sistema con una precarga del ejecutable.
- El caché manager monitoriza todos los ficheros y directorios y los mapea contra el fichero .pf (el fichero .pf será el artefacto forense que analizaremos).
- El Windows Prefetch está desahabilitado por defecto en sistemas con discos SSD, ya que estas unidades de estado sólidas son sumamente útiles para mejorar el rendimiento del inicio del sistema operativo, entre otras cosas. Por tanto, se estaría sobrescribiendo información innecesaria.
- Muestra cómo y cuándo un binario se ejecutó. Es decir, cada vez que ejecutamos un programa, se guarda un fichero de prefetch windows 11 , con la extensión .pf, y nos devuelve información sobre la hora en la que se ha ejecutado, cuándo se ha ejecutado y demás.
- Los Prefetchs los podemos encontrar en la siguiente ruta: C: \Windows \Prefetch
- Está limitado a 128 ficheros en Windows XP, Win Vista y Win 7.
- Está limitado a 1024 ficheros en Win 8 y Win 10.
- Se nombra así: {Nombre_ejecutable} – {hash}.pf
El hash está basado en el path del ejecutable y los argumentos que recibe.
¿Cómo funciona Windows Prefetch?
Cuando se ejecuta un programa o aplicación en un sistema operativo Windows, el sistema operativo utiliza el archivo de Prefetch correspondiente para cargar los datos necesarios y, de ese modo, ejecutar el programa de manera más eficiente. El archivo Prefetch contiene información sobre los archivos necesarios para el programa, así como la forma en la que se accede a ellos. Cuando se utiliza Windows Prefetch, el sistema operativo puede cargar los archivos necesarios en la memoria caché antes de que se soliciten, lo que reduce el tiempo de carga del programa y mejora el rendimiento general del sistema.
Analizar los archivos de Windows Prefetch
Si queremos visualizar la carpeta de Windows Prefetch, tenemos que montar primero una imagen de disco. En este caso utilizaremos FTK Imager. Veamos:
Para analizar los archivos de prefetch temp , vamos a la carpeta de Prefetch, hacemos clic derecho y, en el menú que se despliega, seleccionamos la opción que dice «Export files».
Acto seguido, vamos a seleccionar la ubicación en la que guardaremos los archivos y le damos a aceptar. Esperamos a que se descarguen:
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaUna vez exportados todos los ficheros de la carpeta, vamos a ir al lugar donde los hemos exportado:
Y vemos que tenemos acceso a todos estos archivos .pf.
Si intentamos ver estos archivos sin ningún programa, solo con el bloc de notas, serán prácticamente ilegibles para nosotros. Afortunadamente, Erick Zimmerman tiene una herramienta, denominada PECmd, con la que podemos abrir este tipo de archivos.
PECmd
Para analizar los ficheros dentro de la carpeta de Windows Prefetch, podemos utilizar esta herramienta. Lo primero que haremos es descargarla y, posteriormente, nos vamos al símbolo del sistema y accedemos a la carpeta en al que tenemos el ejecutable.
Una vez allí, vamos a poner el nombre del ejecutable, seguido de la extensión .exe (extensión del ejecutable) y el comando -h:
Luego le pasaremos el directorio. Le diremos que lo guarde como CSV en el directorio que le indiquemos:
Ahora lo único que tenemos que hacer es esperar a que se ejecute.
Una vez ejecutado, podremos revisar los archivos que se han exportado y guardado desde el símbolo del sistema, gracias al Timeline Explorer:
Lo que visualizaríamos con esta herramienta sería algo similar a esto, que ese entiende mucho mejor que los ficheros que teníamos antes y que estaban en caracteres ininteligibles:
¿Cómo seguir aprendiendo sobre ciberseguridad?
Ya hemos visto qué es Windows Prefetch, para qué sirve, dónde encontrar estos ficheros y qué podemos hacer con los archivos que aloja dicha carpeta. Si quieres seguir formándote en las distintas disciplinas que abarca la seguridad informática, échale un vistazo a nuestro Ciberseguridad Full Stack Bootcamp, la formación con la te transformarás en un gran profesional IT en poco tiempo. ¡Entra para solicitar más información y transforma ya mismo tu futuro profesional!