介绍

Prefetch（预读取），从Windows XP开始引入，用来加速应用程序启动过程。Prefetch包含可执行文件的名称、文件时间戳、运行次数、上次执行时间、Hash等。Win7上记录最近128个可执行文件的信息，Win8-10上的最近1024个可执行文件。

Pf文件的名称由“大写字母的应用程序名、-、大写的8位十六进制哈希值、.pf扩展名”组成。

当用户首次运行某个应用程序的时候，Windows操作系统的Windows Cache Manager程序会跟踪记录应用程序启动过程中所需的代码和数据（主要是DLL)，然后由一个名为NTKRNLPA.exe的核心进程将在内存中跟踪的数据以pf文件的形式保存下来。当用户下一次运行相同程序时候，系统会首先读取pf文件将必要的数据和代码加载到内存中，以加快程序的启动过程。

步骤

打开C:\Users\Administrator\Desktop\应急工具集\PECmd

运行输入cmd，输入PECmd.exe -d “C:\Users\Administrator\Desktop\案例\Prefetch” --csv “csv文件输出目录”，

打开PECmd_Outputcsv文件，对ExecutableName列筛选SCVHOST.EXE

打开PECmd_Output_Timeline文件，筛选SCVHOST.EXE，查看时间线