Что находится в папке prefetch
Описание папки Prefetch в Windows 7, 8, 10
Расположение и функции папки Prefetch
Каждый раз, когда Вы включаете компьютер, Windows отслеживает, как запускается Ваш ПК, и какие программы Вы часто открываете. Windows сохраняет эту информацию в виде небольших файлов в папке Prefetch. При следующем включении компьютера ОС ссылается на эти файлы, чтобы ускорить процесс запуска.
Папка Prefetch находится в каталоге ОС, полное расположение выглядит так:
C:\Windows\Prefetch. В вашем конкретном случае метка тома может отличаться.
Перейдя в папку, Вы увидите каталог ReadyBoot и файлы в основном с расширением pf. Например, загрузка ОС трассируется в файл с названием NTOSBOOT-B00DFAAD.pf. Все остальные элементы являются трассировками запуска программ и служебных компонентов. Файлы имеют в названии имя исполняемого файла, его шестнадцатеричного хеша пути и расширение, например, EXCEL.EXE-53A22446.pf.
Работу по формированию файлов трассировки выполняет компонент Prefetcher, но без функционирующего планировщика заданий Prefetcher будет работать неправильно. Данные поступившие от Prefetcher обрабатываются планировщиком заданий и далее записываются в папку Prefetch.
Также стоит обратить внимание на файл Layout.ini. Он создается каждые 3 дня и хранит в себе данные (перечень файлов и папок), которые используются при запуске системы и программ. Данные из Layout.ini использует утилита дефрагментации диска для рационального размещения файлов на жестком диске.
Мифы про удаление содержимого папки Prefetch
Часто утверждается, что удаление папки Prefetch приводит к меньшему времени загрузки и большей свободной памяти. Некоторые эксперты считают, что Windows загружает информацию из папки Prefetch для всех программ, которые когда-нибудь запускались на ПК, в оперативную память, тем самым заполняя ее неиспользуемыми данными (это неверно). Эти эксперты рекомендуют удалять на регулярной основе содержимое папки Prefetch, чтобы сохранить память от неиспользуемых данных.
Папка Prefetch является самообслуживающейся, нет необходимости удалять или очищать ее содержимое. Windows поддерживает определенное число записей в Prefetch и очищает автоматически излишние данные, предотвращая увеличение объемов папки. Если Вы опустошите содержимое папки вручную, тогда Windows и программы займут больше времени для запуска при следующем включении компьютера. Удаленные данные будут воссоздаваться, что приведет к длительному времени загрузки. Удалять папку Prefetch или ее содержимое с точки зрения освобождения памяти на жестком диске бессмысленно, тат как она весит мало. В нашем случае это около 40 мб.
Управление компонентами SuperFetch и Prefetch
По умолчанию Windows 7, 8, 10 отключает автоматически SuperFetch и Prefetch при обнаружении загрузки системы с SSD. Для SSD данные технологии не представляют ценности и вовсе тормозят процессы запуска, излишними операциями. Если ОС автоматически для SSD не отключила данные компоненты, тогда читайте инструкцию ниже.
SuperFetch – это служба, которая предсказывает, какие приложения Вы будете запускать дальше, и предварительно загружает эти данные в память. Windows дает возможность пользователю изменить настройки или отключить SuperFetch и Prefetch, через реестр и службы ОС. Если Вы используете традиционный HDD, тогда эти функции отключать не рекомендуется.
Важно! Во избежание ошибок, сделайте резервную копию реестра или точку восстановления системы.
Откройте реестр Windows 7, 8,10. В реестре перейдите до раздела PrefetchParameters (путь внизу скриншота). Обратите внимание на 2 параметра EnablePrefetcher, EnableSuperfetch.
Кликните далее двойным кликом по EnablePrefetcher. В поле «значение» установите новый параметр.
Значения для EnablePrefetcher:
По умолчанию задано значение 3, измените его на 0 или на 1, 2. После изменений кликните OK.
Значения для EnableSuperfetch:
Теперь Вы знаете, что за папка Prefetch, можно ли удалить и какие компоненты ОС ей управляют. Содержимое папки лучше не трогать, она обслуживает сама себя, нет необходимости участия пользователя. На HDD лучше не отключать функции SuperFetch и Prefetch, это замедлит систему в целом.
Папка Prefetch: какие файлы она хранит и зачем они нужны?
Сложно, не будучи специалистом, уследить за развитием операционной системы Windows. Но существуют элементарные понятия, которые должен понимать каждый пользователь. Знание того, какие папки и за что отвечают в Windows, позволят легче ориентироваться в системе. Примером неизвестных нам файлов является содержимое C:/Windows/Prefetch.
Предназначение папки
Ответим на вопрос: зачем нужна папка Prefetch? Windows при запуске анализирует программы, которыми мы часто пользуемся (открываем самостоятельно или с помощью автозагрузки). Затем система создает сведения об этих программах, которые хранит в специальных временных файлах в папке Prefetch. При последующем включении Windows эти файлы ускоряют загрузку ОС.
За выполнение этой работы отвечает компонент ОС Prefetcher. Если их удалить, никаких изменений не произойдет. При последующем запуске, Windows снова соберет актуальные данные о программах и поместит в папку Prefetch. При этом загрузка ОС может длиться немного дольше, чем обычно.
Управление службой Prefetcher
Управлять работой службы Prefetcher можно в редакторе реестра:
Данный параметр оперирует значениями от 0 до 3, которые означают:
По умолчанию стоит значение 3. Для того, чтобы отключить службу, введите значение 0 и сделайте рестарт ПК.
Охотимся на техники и тактики атакующих с использованием Prefetch-файлов
Файлы трассировки, или Prefetch-файлы, появились в Windows еще со времен XP. С тех пор они помогали специалистам по цифровой криминалистике и реагированию на компьютерные инциденты находить следы запуска программ, в том числе вредоносных. Ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин рассказывает, что можно найти с помощью Prefetch-файлов и как это сделать.
Prefetch-файлы хранятся в каталоге %SystemRoot%\Prefetch и служат для ускорения процесса запуска программ. Если мы посмотрим на любой из этих файлов, то увидим, что его имя состоит из двух частей: имени исполняемого файла и контрольной суммы от пути к нему, состоящей из восьми символов.
Prefetch-файлы содержат массу полезной с криминалистической точки зрения информации: имя исполняемого файла, количество его запусков, списки файлов и каталогов, с которыми взаимодействовал исполняемый файл, и, разумеется, временные метки. Обычно криминалисты используют дату создания того или иного Prefetch-файла для определения даты первого запуска программы. Кроме того, данные файлы хранят дату ее последнего запуска, а начиная с версии 26 (Windows 8.1) — временные метки семи последних запусков.
Давайте возьмем один из Prefetch-файлов, извлечем из него данные средствами PECmd Эрика Циммермана и посмотрим на каждую их часть. Для демонстрации я извлеку данные из файла CCLEANER64.EXE-DE05DBE1.pf.
Итак, начнем сверху. Разумеется, у нас есть временные метки создания, модификации и доступа к файлу:
За ними следуют имя исполняемого файла, контрольная сумма пути к нему, размер исполняемого файла, а также версия Prefetch-файла:
Так как мы имеем дело с Windows 10, далее мы увидим количество запусков, дату и время последнего запуска и еще семь временных меток, указывающих на предыдущие даты запуска:
За ними следует информация о томе, включая его серийный номер и дату создания:
И последнее, но не менее важное — список каталогов и файлов, с которыми взаимодействовал исполняемый файл:
Итак, каталоги и файлы, с которыми взаимодействовал исполняемый файл, — это как раз то, на чем я хочу сегодня сосредоточиться. Именно эти данные позволяют специалистам по цифровой криминалистике, реагированию на компьютерные инциденты или проактивному поиску угроз установить не только факт исполнения того или иного файла, но и, в некоторых случаях, — реконструировать конкретные тактики и техники атакующих. Сегодня злоумышленники достаточно часто используют инструменты для безвозвратного удаления данных, например, SDelete, поэтому способность восстанавливать хотя бы следы использования тех или иных тактик и техник просто необходима любому современному защитнику — компьютерному криминалисту, специалисту по реагированию на инциденты, ThreatНunter-эксперту.
Давайте начнем с тактики Initial Access (TA0001) и самой популярной техники — Spearphishing Attachment (T1193). Некоторые киберпреступные группы относятся к выбору таких вложений довольно творчески. Например, группа Silence использовала для этого файлы в формате CHM (Microsoft Compiled HTML Help). Таким образом, перед нами еще одна техника — Compiled HTML File (T1223). Такие файлы запускаются с помощью hh.exe, следовательно, если мы извлечем данные из его Prefetch-файла, то узнаем, какой именно файл был открыт жертвой:
Продолжим работать с примерами из реальных дел и перейдем к следующей тактике Execution (TA0002) и технике CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) может использоваться атакующими для запуска вредоносных сценариев. Хороший пример — группа Cobalt. Если мы извлечем данные из Prefetch-файла cmstp.exe, то снова сможем узнать, что именно было запущено:
Еще одна популярная техника — Regsvr32 (T1117). Regsvr32.exe также часто используется атакующими для запуска. Вот и еще один пример от группы Cobalt: если мы извлечем данные из Prefetch-файла regsvr32.exe, то снова увидим, что было запущено:
Следующие тактики — Persistence (TA0003) и Privilege Escalation (TA0004), а также Application Shimming (T1138) в качестве техники. Эта техника использовалась Carbanak/FIN7 для закрепления в системе. Обычно для работы с базами данных с информацией о совместимости программ (.sdb) используется sdbinst.exe. Следовательно, Prefetch-файл данного исполняемого файла может помочь нам узнать имена таких баз данных и их расположение:
Как видно на иллюстрации, мы имеем не только имя файла, использованного для инсталляции, но и имя инсталлированной базы данных.
Давайте взглянем на один из наиболее типичных примеров продвижения по сети (TA0008) — PsExec, использующего административные общие ресурсы (T1077). Служба с именем PSEXECSVC (разумеется, может использоваться и любое другое имя, если атакующие использовали параметр -r) будет создана на целевой системе, следовательно, если мы извлечем данные из Prefetch-файла, то увидим, что было запущено:
Закончу я, пожалуй, на том, с чего начинал — удаление файлов (T1107). Как я уже отмечал, многие атакующие используют SDelete для безвозвратного удаления файлов на разных стадиях жизненного цикла атаки. Если мы взглянем на данные из Prefetch-файла sdelete.exe, то увидим, что именно было удалено:
Разумеется, это не исчерпывающий список техник, которые можно обнаружить в ходе анализа Prefetch-файлов, но этого должно быть вполне достаточно, чтобы понять, что такие файлы могут помочь не только найти следы запуска, но и реконструировать конкретные тактики и техники атакующих.
Папка Prefetch: какие файлы она хранит и зачем они нужны?
Сложно, не будучи специалистом, уследить за развитием операционной системы Windows. Но существуют элементарные понятия, которые должен понимать каждый пользователь. Знание того, какие папки и за что отвечают в Windows, позволят легче ориентироваться в системе. Примером неизвестных нам файлов является содержимое C:/Windows/Prefetch.
Предназначение папки
Ответим на вопрос: зачем нужна папка Prefetch? Windows при запуске анализирует программы, которыми мы часто пользуемся (открываем самостоятельно или с помощью автозагрузки). Затем система создает сведения об этих программах, которые хранит в специальных временных файлах в папке Prefetch. При последующем включении Windows эти файлы ускоряют загрузку ОС.
За выполнение этой работы отвечает компонент ОС Prefetcher. Если их удалить, никаких изменений не произойдет. При последующем запуске, Windows снова соберет актуальные данные о программах и поместит в папку Prefetch. При этом загрузка ОС может длиться немного дольше, чем обычно.
Управление службой Prefetcher
Управлять работой службы Prefetcher можно в редакторе реестра:
Данный параметр оперирует значениями от 0 до 3, которые означают:
По умолчанию стоит значение 3. Для того, чтобы отключить службу, введите значение 0 и сделайте рестарт ПК.
Ответы на вопросы
Если у вас остались вопросы свяжитесь с нами. Опишите вашу проблему в деталях, чтобы мы смогли помочь.
Играет ли папка Prefetch какую-то роль в оптимизации работы Windows и приложений
Тема оптимизации Windows представляется большинству пользователей весьма важной и, наверное, именно потому с ней связано так много мифов. В одном из этих мифов утверждается, что увеличить место на диске, а также ускорить работу системы и приложений можно, производя определённые манипуляции с папкой Prefetch. Давайте же разберёмся, действительно ли это так и для чего вообще нужна папка Prefetch.
В Windows каталог Prefetch играет ту же роль, что и кэш в браузерах. Чтобы система или приложения запускались быстрее, Windows автоматически сохраняет часть их кода в особые файлы трассировки. Когда пользователь запускает, к примеру, ресурсоёмкое приложение, система сначала обращается к содержимому папки Prefetch, считывает сохранённую и «часть» программы в память, в результате чего последняя запускается быстрее.
Что даст удаление содержимого папки Prefetch для оптимизации? Ничего, будет только хуже. Во-первых, время, необходимое на загрузку системы и некоторых программ увеличится, во-вторых, файлы PF будут созданы заново, на что системе опять придётся выделить часть ресурсов памяти. К тому же удаление каталога Prefetch ничуть не прибавит места на диске, так как весит эта папка обычно немного, а количество файлов в ней всегда ограничивается 128-ю.
Если вы так уже хотите управлять содержимым Prefetch, делать это нужно правильно, а именно — через реестр.
Откройте командой regedit редактор реестра и разверните эту ветку:
В правой колонке окна редактора найдите параметр EnablePrefetcher и посмотрите его текущее значение.
Скорее всего, это будет 3. Именно это значение включает ускорение запуска приложений и системы. Если вы хотите полностью их отключить, измените значение на 0. Для ускорения только приложений установите 1, для ускорения загрузки только системы установите 2. Чтобы изменения вступили в силу, перезагрузите компьютер.