Le Informazioni Segrete dei File Prefetch di Windows

Ogni volta che viene avviata un’applicazione in Windows, dietro le quinte il sistema operativo crea un file contenente alcune informazioni sul programma avviato. Questo file è il file di Prefetch.

I file di Prefetch sono stati introdotti da Microsoft in Windows Xp per migliorare le performance del sistema, in particolar modo per rendere più veloce l’avvio delle applicazioni.

Quali informazioni vengono memorizzate  in questi file? E soprattutto, dove vengono memorizzati questi file? iniziamo da questa seconda domanda. I file di Prefetch sono memorizzati in una cartella denominata Prefetch (sorprendente!) situata nella cartella di sistema %SystemRoot%\Prefetch, normalmente C:\WINDOWS\Prefetch.

Nei file di Prefetch vengono memorizzate le seguenti informazioni:

  • Nome del file di prefetch: è il nome del file di Prefetch, formato dal nome dell’eseguibile, un hash alfanumerico di 8 caratteri e l’estensione .pf (per esempio: FIREFOX.EXE-030DA6C5.pf)
  • Data di creazione: data di creazione del file di Prefetch
  • Data di ultima modifica: data in cui è stato modificato il file
  • Dimensioni del file: dimensioni del file di Prefetch
  • Nome del file eseguibile: nome del file eseguito…
  • Path completo: … e suo percorso completo nel filesystem
  • Numero di esecuzioni: il numero di volte che il programma è stato eseguito
  • Ultimo avvio: l’ultima volta che è stato eseguito il programma, per esempio, l’ultima volta che è stato avviato Firefox

Oltre a queste informazioni, nel file di Prefetch è presente anche la lista di tutti file utilizzati dal programma (dalle dll ai file di configurazione).

Per visualizzare tutte queste informazioni è possibile utilizzare WinPrefetchView, un programma free creato da Nirsoft, che oltre a visualizzare i dati dei file Prefetch, permette anche di salvare un report in diversi formati (html,txt,xml).

Oltre alla curiosità di vedere che cosa succede nei meandri del sistema, questi file possono essere utili per ricostruire le attività di un utente. Infatti, analizzando la colonna dell’ultimo avvio si può seguire la timeline dell’utilizzo di un computer, cosa che potrebbe essere utile in un’indagine, ma anche più banalmente per capire quale programma ha provocato un pasticcio che si è rivelato solo alcune ore più tardi.

Un altro modo un po’ più esoterico per accedere alle informazioni di Prefetch è quello di utilizzare un programma scritto in Python, Windows Prefetch Folder Tool. Per chi volesse approfondire l’argomento segnalo la voce su ForensicsWiki.

2 Commenti

  1. Velocizzano l’avvio dei programmi, ma rallentano l’avvio di windows. Senza contare che non vengono cancellati alla disinstallazione dei programmi (questo vuol dire che dopo un po’ di tempo che usiamo il computer verranno caricati file .pf di software che non abbiamo nemmeno più).

    Per questo molti programmi di pulizia, come ccleaner, cancellano anche i file di prefecht e io stesso, ogni mesetto, vado a cancellarli pulendo totalmente la cartella che li contiene, anche perchè si ricreano al primo avvio dei software.

  2. ma quanto è attendibile il dato del numero di avvii ai fini forensi,
    non c’è molto materiale su questi file in rete,
    non capisco se il numero si riferisce al numero di volte minime che un programma è stato eseguito contandone una per sessione di windows (quindi una volta che parte windows anche se il programma lo faccio partire 10 volte ne viene contata solo una per quella sessione)
    oppure è un numero assoluto.
    grazie per questo ottimo articolo di approfondimento

1 Trackback / Pingback

  1. Technotizie.it

I commenti sono bloccati.