Precargar archivos en Windows

Estos son los archivos temporales almacenados en el nombre de la carpeta del sistema como una captación previa. Prefetch es una función de administración de memoria. El registro sobre la aplicación que se ejecuta con frecuencia en su máquina se almacena en la carpeta de captación previa. El registro está cifrado en formato Hash para que nadie pueda descifrar fácilmente los datos de la aplicación. Estos archivos se pueden usar para extraer la marca de tiempo y otros recursos consumidos cuando se ejecuta el archivo.

Característica y formato de archivos de captación previa

1. Todos estos archivos están almacenados en la carpeta ROOT/Windows/Prefetch y la mayoría de los archivos tienen la extensión PF
2. Por ejemplo: PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf. El archivo de captación previa para PYTHON_3.6.1-AMD64.EXE aparecería como PYTHON_3.6.1-AMD64.EXE-6F01AFF6.pf,
3. 6F01AFF6 es un hash de la ruta desde donde se ejecutó el archivo. Esta ruta está encriptada con diferentes tipos de funciones hash.
4. El script Prefetchcount.py se puede utilizar para descomprimir los archivos de captación previa. Los archivos descomprimidos se pueden convertir fácilmente en un formato de string comprensible
5. Número máximo de archivos de captación previa
   1. Windows XP a Windows 7 = 128
   2. Windows 8 a Windows 10 = 1024

      6. Al llegar al límite se elimina automáticamente de la carpeta.                                                        

Cómo verificar archivos de captación previa

Paso 1: Presiona el botón Windows+R y busca prefetch.

                 

Paso 2: C:\Windows\Prefetch : esta carpeta de ubicación contiene todos los archivos de precarga en su máquina local.                                                           

Información almacenada en archivos de captación previa

Los archivos Prefetch almacenan toda la información necesaria sobre la aplicación ejecutable. Entonces, eso ayudará a disminuir el tiempo de arranque de la aplicación. Como la memoria caché en su máquina

1. Run Count: el número total de veces que la aplicación se ejecuta en su máquina.
2. Prefetch Hash: valor hash/valor de registro generado por la función hash diferente depende de las versiones de prefetch.
3. Recursos cargados: archivos adicionales cargados junto con los archivos de captación previa
4. Versión: la versión de la captación previa significa cómo se debe realizar el cifrado al crear archivos de captación previa
5. Marca de tiempo: la última vez que se ejecutaron los archivos en el sistema.
6. Ruta del dispositivo de volumen : el volumen o la unidad lógica es una única área de almacenamiento accesible donde se ejecutó el archivo.

Versiones de captación previa 

El objetivo principal detrás de introducir diferentes versiones de los archivos de captación previa para aumentar la estabilidad de los archivos de captación previa:

Algunas versiones son:

1. 17: Windows XP y Windows 2003
2. 23: Vista y Windows 7
3. 26: Ventanas 8.1
4. 30: ventanas 10

Usos de los archivos de captación previa

1. Estos archivos se utilizan para estudiar el comportamiento de la aplicación, es decir, qué aplicación se ejecuta automáticamente o no, etc.
2. Los archivos de captación previa se pueden utilizar para el análisis forense de la aplicación en particular.
3. El análisis de los virus se puede estudiar con la ayuda de archivos de búsqueda previa.

Ventajas de los archivos de búsqueda previa:

1. Al ser una función de utilidad de la ventana, los archivos de búsqueda previa tienen muy pocas ventajas.
2. Hay muchas herramientas de limpieza que eliminan automáticamente los archivos de búsqueda previa. Esto hace que el sistema sea más rápido, pero solo una vez más después de que la captación previa se cree nuevamente para hacer el trabajo allí.
3. Cuando se alcanza el límite de capacidad de los archivos de búsqueda previa, se elimina automáticamente toda la información y los archivos de búsqueda previa. La capacidad depende del sistema operativo de la máquina.

Contras de los archivos de captación previa

1. Proporcione información cifrada en la aplicación ejecutable. Para que nadie pueda acceder fácilmente a la información.
2. La potencia de procesamiento de la CPU aumenta y disminuye la velocidad de lectura y escritura del disco.
3. Podemos cambiar la actividad de la captación previa fácilmente 
   1. El valor de EnablePrefetcher se puede configurar para que sea uno de los siguientes:
      • 0 = Deshabilitado
      • 1 = Búsqueda previa de inicio de aplicación habilitada
      • 2= ​​Precarga de arranque habilitada
      • 3 = Applaunch y Boot habilitados (óptimo y predeterminado)