Presentes em sistemas Microsoft Windows XP ou superior, os arquivos Prefetch são artefatos de grande importância para a análise forense, permitindo identificar executáveis que foram carregados em um determinado equipamento.
A pasta denominada Prefetch, localizada sob a pasta do sistema %system%\Prefetch, abriga pequenos arquivos com extensão “pf”, que contém informações acerca do uso e carga de programas na inicialização. O objetivo destes arquivos é otimizar o processo de inicialização do Windows. Para a perícia forense estes arquivos podem guardar informações preciosas. Em seu interior encontra-se o nome do arquivo executável, uma lista das dlls associadas ao programa, quantas vezes foi executado e qual a última vez que isso ocorreu. O nome do arquivo é composto pelo nome do executável e sua extensão, acrescentado de um hash.
A pasta Prefetch contém os seguintes arquivos:
*.pf – Arquivo que contém as informações sobre os executáveis
Ag*.db e Ag*.db.trx – Arquivos Superfetch
Layout.ini
PfPre_*.db
PfSvPerfStats.bin
A chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory Management\PrefetchParameters contém informações sobre a configuração em particular as chaves EnablePrefetcher e EnableSuperfetch, indicam se o Prefetch e o Superfetch estão habilitados para os seguintes valores:
PREFETCH
0 = Desabilita o Prefetch
1 = Habilita o Prefetch na carga de aplicativos
2 = Habilita o Prefetch na inicialização apenas
3 = Habilita o Prefetch na para ambos, inicialização e carga de aplicações
SUPERFETCH
0 = Desabilita o Superfetch
1 = Habilita o SuperFetch para a inicialização apenas
2 = Habilita o SuperFetch para aplicações somente
3 = Habilita o SuperFetch para ambos, inicialização e aplicações
A análise de arquivos Prefetch pode ser realizada de várias maneiras. Particularmente utilizo o Prefetch Forensics da Woanware que possui diversas outras ferramentas para uso forense. A segunda é o File Analyser da Mitec que também oferece outras ferramentas portáteis para análise forense.
Os arquivos “pf” geram informações como listadas abaixo:
Nome do arquivo: APTXO.EXE-38A7B229.pf
Data/Hora de criação: 07 out 2014 (ter) 10:11:58
Data/Hora de modificação: 10 nov 2011 (qui) 15:46:14
Data/Hora do último acesso: 10 nov 2011 (qui) 15:46:14
Número de excuções: 1
Path Hash: 38A7B229
Calc Hash: 38A7B229
Caminho do arquivo: \DEVICE\HARDDISKVOLUME1\USERS\ADMIN\CONFIG~1\ TEMP\APTXO.EXE
