Windows-Prefetch
Als Prefetching (eng. für "vorgreifen") bezeichnet man das voraussagende Laden von Inhalten. Dabei geht es darum, Inhalten auf einen schnelleren Speicher zu Laden, bevor diese potenziell benötigt werden. Im Falle eines tatsächlich eintretenden Bedarfs an diesen Inhalten, wird eine schnellere Zugriffsgeschwindigkeit ermöglicht.
Prefetch-Cache
Als Cache wird ein schneller Speicher bezeichnet, der als Puffer dient, um häufig genutzte Daten schneller abrufbar zu machen. Unter Windows wird der Prefetch-Cache primär zum schnelleren Laden von häufig genutzten Programmen genutzt.
Vorteile durch Caches
- Das Öffnen von Dokumenten wird beschleunigt
- Das Laden von Programmen wird beschleunigt
- Das Hochfahren des Computers wird beschleunigt
Verwendung in der IT-Forensik
In der IT-Forensik werden Einträge im Prefetch-Cache genutzt, um Hinweise auf vorab genutzte Dateien und Daten zu bekommen. Mithilfe der Dateien im Prefetch-Cache kann eine grobe Timeline der Aktivitäten auf einem Computersystem erstellt werden. Zusätzlich erhält man durch die Einträge im Prefetch-Cache Einblicke, was zum jeweiligen Zeitpunkt an Daten abgefragt und vorgehalten wurden.
Angriffsvektoren
Durch Angriffe wie "Cache-Poisoning" kann die Injektion von Daten durch Dritte, durch z.B. das Überschreiben von Daten im Cache erfolgen. Außerdem kann dadurch ein Zugriff auf nicht berechtigte Speicherinhalte ermöglicht werden, indem beispielsweise versucht wird, Inhalte in den Cache einzuschleusen.
Werkzeuge
unvollständige Liste in alphabetischer Reihenfolge