Proponha uma correção, faça uma sugestão
Prefetch no Windows: informação “oculta” sobre as aplicações
O Prefetch é uma funcionalidade do Windows que tem como objetivo acelerar o carregamento dos programas e a inicialização do próprio sistema operativo. Saiba mais sobre este mecanismo.
O Prefetch funciona com base no registo de informações dos ficheiros e recursos que os programas mais utilizados necessitam. Essa informação é armazenada em ficheiros com extensão .pf no diretório C:\Windows\Prefetch.
Sempre que arranja o sistema ou executar uma aplicação, o Windows usa os dados guardados para carregar antecipadamente esses ficheiros para a memória RAM, evitando leituras desnecessárias do disco, acelerando assim o processo.
Devo eliminar os ficheiros da pasta Prefetch?
Não é recomendado apagar manualmente os ficheiros da pasta Prefetch. O Windows gere automaticamente esse diretório, removendo ficheiros antigos e procedendo à criação de novos conforme necessário. Apagar estes ficheiros não traz benefícios de desempenho; pelo contrário, pode deixar o sistema mais lento temporariamente, pois o Windows terá de voltar a criar todos os ficheiros de prefetch à medida que utiliza os programas novamente.
No que diz respeito à informação mantida nestes ficheiros destaque para:
- Nome do executável e caminho de execução
- Hash do caminho do executável
- Data/hora de criação, modificação e último acesso
- Número de execuções
- Data/hora das últimas oito execuções
- Lista de ficheiros e diretórios acedidos pelo executável
Valor Forense dos ficheiros Prefetch
- Evidência de execução
- Permitem provar que determinado programa foi executado, mesmo que o executável já tenha sido removido do sistema.
- Reconstrução de eventos
- Através dos carimbos de data/hora, é possível criar uma linha temporal detalhada das ações do utilizador ou de um atacante.
- Deteção de malware
- Prefetch regista execuções de ferramentas de limpeza, scripts maliciosos, ou programas de ataque, mesmo que tentem apagar rastos.
- Identificação de ficheiros acedidos
- Revelam que outros ficheiros e diretórios foram utilizados durante a execução de um programa, útil para rastrear movimentação lateral ou exfiltração de dados.
Os Ficheiros Prefetch podem ser apagados manualmente ou por ferramentas de limpeza, afetando assim a integridade da evidência ou até mesmo toda a evidência.
Para a visualização do conteúdo destes ficheiros com extensão .pf, aconselhamos o uso da ferramenta WinPrefetchView.
Loading ...
Porque é que a imagem do laptop está a fazer-me tanta confusão a nível da perspectiva?
Está estranho…
Acredito q seja a sombra por de trás do portátil q não tem a mesma direção q a sombra do canto da parede.
Infelizmente o Windows não apaga os respetivos ficheiros .pf, por mais antigos que sejam. O que faz com que esta pasta se torne numa pasta de ficheiros temporários. Mesmo depois de se desinstalar uma aplicação, o ficheiros .pf, relativos aos executáveis da aplicação, ficam internamente no disco, até serem apagados manualmente.
Este também foi outro dos motivos para migrar para outro SO…o “amigo” prefetch colocava-me imensamente as máquinas lentas…por vezes com o HD ocupado a 100%…lá ia ao ctrl-alt-del e terminava o processo (demorando a abrir o mesmo e a aceitar terminar o mesmo)…passado 10 min estava no mesmo. Máquinas i7 a comportarem-se como Pentium III…eu a não conseguir “mandar” no meu próprio hardware…isto e a luta constante com drivers de impressoras após alguns updates ditou o fim do reinado da MS por estas bandas