Ogni volta che viene avviata un’applicazione in Windows, dietro le quinte il sistema operativo crea un file contenente alcune informazioni sul programma avviato. Questo file è il file di Prefetch.
I file di Prefetch sono stati introdotti da Microsoft in Windows Xp per migliorare le performance del sistema, in particolar modo per rendere più veloce l’avvio delle applicazioni.
Quali informazioni vengono memorizzate in questi file? E soprattutto, dove vengono memorizzati questi file? iniziamo da questa seconda domanda. I file di Prefetch sono memorizzati in una cartella denominata Prefetch (sorprendente!) situata nella cartella di sistema %SystemRoot%\Prefetch, normalmente C:\WINDOWS\Prefetch.
Nei file di Prefetch vengono memorizzate le seguenti informazioni:
- Nome del file di prefetch: è il nome del file di Prefetch, formato dal nome dell’eseguibile, un hash alfanumerico di 8 caratteri e l’estensione .pf (per esempio: FIREFOX.EXE-030DA6C5.pf)
- Data di creazione: data di creazione del file di Prefetch
- Data di ultima modifica: data in cui è stato modificato il file
- Dimensioni del file: dimensioni del file di Prefetch
- Nome del file eseguibile: nome del file eseguito…
- Path completo: … e suo percorso completo nel filesystem
- Numero di esecuzioni: il numero di volte che il programma è stato eseguito
- Ultimo avvio: l’ultima volta che è stato eseguito il programma, per esempio, l’ultima volta che è stato avviato Firefox
Oltre a queste informazioni, nel file di Prefetch è presente anche la lista di tutti file utilizzati dal programma (dalle dll ai file di configurazione).
Per visualizzare tutte queste informazioni è possibile utilizzare WinPrefetchView, un programma free creato da Nirsoft, che oltre a visualizzare i dati dei file Prefetch, permette anche di salvare un report in diversi formati (html,txt,xml).
Oltre alla curiosità di vedere che cosa succede nei meandri del sistema, questi file possono essere utili per ricostruire le attività di un utente. Infatti, analizzando la colonna dell’ultimo avvio si può seguire la timeline dell’utilizzo di un computer, cosa che potrebbe essere utile in un’indagine, ma anche più banalmente per capire quale programma ha provocato un pasticcio che si è rivelato solo alcune ore più tardi.
Un altro modo un po’ più esoterico per accedere alle informazioni di Prefetch è quello di utilizzare un programma scritto in Python, Windows Prefetch Folder Tool. Per chi volesse approfondire l’argomento segnalo la voce su ForensicsWiki.
PillolHacking.Net: I Migliori Articoli del 2010
Quello che si conclude è l’anno di Wikileaks e di Stuxnet, del controverso Assange e dell’esplosione... Visualizzare i Processi di Windows da Linea di Comando
Mantenere in buona salute il proprio PC è un compito non semplice. Occorre prestare un po' di attenzione... I Pericolosi Link di Windows
Con la pubblicazione dell’advisory 2286198 del 16 Luglio, Microsoft svela la presenza di una vulnerabilità... MacOS in dual boot con Windows XP, ormai è realtà!
JLorenz ha scritto: BootCamp è un applicativo per ora in fase di testing che permette di far girare...
feb 26, 2010 at 09:24:05
Velocizzano l’avvio dei programmi, ma rallentano l’avvio di windows. Senza contare che non vengono cancellati alla disinstallazione dei programmi (questo vuol dire che dopo un po’ di tempo che usiamo il computer verranno caricati file .pf di software che non abbiamo nemmeno più).
Per questo molti programmi di pulizia, come ccleaner, cancellano anche i file di prefecht e io stesso, ogni mesetto, vado a cancellarli pulendo totalmente la cartella che li contiene, anche perchè si ricreano al primo avvio dei software.
lug 6, 2010 at 19:10:16
ma quanto è attendibile il dato del numero di avvii ai fini forensi,
non c’è molto materiale su questi file in rete,
non capisco se il numero si riferisce al numero di volte minime che un programma è stato eseguito contandone una per sessione di windows (quindi una volta che parte windows anche se il programma lo faccio partire 10 volte ne viene contata solo una per quella sessione)
oppure è un numero assoluto.
grazie per questo ottimo articolo di approfondimento