【概要】
- Prefetch は WindowsXP から導入
- プログラムが起動10秒後に、ファイルが作成
- C:\Windows\Prefetchフォルダに、ファイル名が「プログラム名-フルパスのハッシュ値.pf」のファイルが作成
- ハッシュ値は、プログラムのフルパスから計算
- PFファイルには、プログラムのフルパス、実行日時、実行回数、プログラムが起動時に読み込んだファイル名(DLLファイルなど)、ボリューム関連情報が記録
- コマンドラインやオートラン機能(autorun.inf)などにより実行したプログラムもPFファイルが作成
- PFファイルは最大で128個程度作成(Windows 8.x以降は、1024個に拡張)
【ブログ】
◆簡易解析入門 プログラム実行の痕跡の調査 (1)Prefetch (SecTan Lab., 2015/03/14)
http://sectanlab.sblo.jp/article/115076023.html
【関連まとめ記事】
◆プリフェッチ解析ツール (まとめ)
https://security-tools.hatenablog.com/entry/Prefetch