O Prefetch é uma funcionalidade do Windows que tem porquê objetivo açodar o carregamento dos programas e a inicialização do próprio sistema operativo. Saiba mais sobre oriente mecanismo.
O Prefetch funciona com base no registo de informações dos ficheiros e recursos que os programas mais utilizados necessitam. Essa informação é armazenada em ficheiros com extensão .pf no diretório C:WindowsPrefetch.
Sempre que arranja o sistema ou executar uma emprego, o Windows usa os dados guardados para carregar antemão esses ficheiros para a memória RAM, evitando leituras desnecessárias do disco, acelerando assim o processo.
Devo expelir os ficheiros da pasta Prefetch?
Não é recomendado extinguir manualmente os ficheiros da pasta Prefetch. O Windows gere maquinalmente esse diretório, removendo ficheiros antigos e procedendo à geração de novos conforme necessário. Extinguir estes ficheiros não traz benefícios de desempenho; pelo contrário, pode deixar o sistema mais lento temporariamente, pois o Windows terá de voltar a fabricar todos os ficheiros de prefetch à medida que utiliza os programas novamente.
No que diz saudação à informação mantida nestes ficheiros destaque para:
- Nome do factível e caminho de realização
- Hash do caminho do factível
- Data/hora de geração, modificação e último aproximação
- Número de execuções
- Data/hora das últimas oito execuções
- Lista de ficheiros e diretórios acedidos pelo factível
Valor Judicial dos ficheiros Prefetch
- Evidência de realização
- Permitem provar que determinado programa foi executado, mesmo que o factível já tenha sido removido do sistema.
- Reconstrução de eventos
- Através dos carimbos de data/hora, é verosímil fabricar uma risco temporal detalhada das ações do utilizador ou de um atacante.
- Deteção de malware
- Prefetch regista execuções de ferramentas de limpeza, scripts maliciosos, ou programas de ataque, mesmo que tentem extinguir rastos.
- Identificação de ficheiros acedidos
- Revelam que outros ficheiros e diretórios foram utilizados durante a realização de um programa, útil para rastrear movimentação lateral ou exfiltração de dados.
Os Ficheiros Prefetch podem ser apagados manualmente ou por ferramentas de limpeza, afetando assim a integridade da evidência ou até mesmo toda a evidência.
Para a visualização do teor destes ficheiros com extensão .pf, aconselhamos o uso da instrumento WinPrefetchView.
