Prefetch ve Superfetch

Prefetch, Windows XP’de tanıtılan ve Windows 10’da bile hala kullanılan, programın daha hızlı başlatılmasına yardımcı olmak için çalıştırdığınız uygulamalarla ilgili belirli verileri depolayan bir özelliktir. Önceden Alma, önbellek özetlenmelerini öngörmeye yardımcı olan bir algoritma (Windows, disk önbelleğinde depolanmayan verileri talep ettiği zaman) ve bu verileri kolaylıkla geri çekilebilmesi için sabit diskte saklar. Superfetch hangi uygulamaların başlatılacağını belirlemeye çalışan ve ardından gerekli tüm dosyaları ve verileri belleğe yükleyen bir özelliktir. Bu özelliklerin her ikisi de çalışabilmesi için epeyce okuma ve yazma işlemi gerektirir. Bu veriler C:\Windows\Prefetch‘te bulunur ve teorik olarak bu klasöre ait verilerin periyodik olarak silinmesi (örneğin, ayda bir) performansı artıracaktır.


Önbelleklenen dosyalar, Prefetch dizininin içinde “PF” uzantılı dosyalardır:


Windows 7 Prefetch görüntüsü
Windows 7 Prefetch görüntüsü

Yeni uygulamalar daha sonra başlatıldığında, yeni ön getirim verileri oluşturulur, bu da başlangıçta biraz daha düşük performans anlamına gelebilir. Ancak, daha eski girişler giderek ayrıştırılacak daha az veri olacaktır ve Windows, ihtiyaç duyduğu verileri daha hızlı bulabilecektir. Gördüğünüz tüm performans artışı, (eğer herhangi birini görürseniz) önemsiz olacak, ancak her CPU döngüsünü bilgisayarlarından kısıtlamak isteyen kullanıcılar bunu denemek isteyecektir. Ancak yalnızca Windows’u önyükleme yaptığınızda önbellekten alınan verileri silmenin, Bilgisayarın önyükleme süresini biraz arttırabileceğini unutmayınız. Her sonraki önyükleme, normal çalışmaya devam etmelidir, çünkü önyükleme verileri, önyükleme sırasında Windows tarafından yüklenen programlar için zaten mevcut olacaktır. Prefetcher yapılandırması, aşağıdaki konumdaki windows kayıt defterinde saklanır:


Bilgisayar\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters


EnablePrefetcher değerini aşağıdaki değerlerden biri olarak ayarlayabilirsiniz:

0 = Devre dışı

1 = Uygulama başlatma Prefetch etkin

2 = Önyükleme Prefetch etkin

3 = Başlatma ve Başlatma etkin (Optimal ve Varsayılan)




Prefetch ve Superfetch’i Hangi Durumlarda Devre Dışı Bırakmalısınız?


Prefetch’i devre dışı bırakmak için, kayıt defteri değerini 0 olarak değiştirmeniz yeterlidir. Superfetch’i devre dışı bırakmak için, başlat seçeneğini tıklamanız ve services.msc yazmanız gerekir. Superfetch’i görene kadar çift tıklayınız. Varsayılan olarak, Windows 7/8/10’un SSD sürücüsü algıladığı takdirde prefetch ve superfetch’i otomatik olarak devre dışı bırakması gerekiyordu, ancak bu Windows 10 bilgisayarlarda geçerli değildir.


Sistem çalışıyor durumdaysa , Durdur düğmesine tıklayın ve ardından Başlangıç türünü Devre Dışı olarak değiştirin. Yine, sadece katı hal sabit diskleri olan bilgisayarlar için önyükleme ve süper aktarmayı(Superfetch-Hızlı Getirme) devre dışı bırakmanız yeterlidir. Düzenli plakalı sabit diskler için, zaman içinde performansı arttırmaya yardımcı olabilirler.



Prefetch Dosyalarının Adli Süreçlerdeki Değeri

Peki prefetch dosyasının adli soruşturmalar için değeri nedir? Prefetch dosyalarını aramak için Google'ı kullanırsanız, yaklaşık ilk elli arama, kullanıcıların bilgisayarlarını hızlandırmaya yardımcı olması içindir.



Prefetch dosyalarını silmeleri gerektiğini söyleyen web sitelerini bulursunuz. Önyükleme dosyasının temel amacı kullanıcı uygulamalarının yüklenmesini hızlandırmak olduğundan, bu bilgiler açıkça yanlıştır. Prefetch dosyaları bazen bilgisayar adli incelemelerinin yaşamsal sorularına cevap verebilir: kim, ne, ne zaman, nerede, neden ve bazen de nasıl vb.


Prefetch dosyalarının adli değeri iki farklı açıdan incelenecektir:


1. Prefetch dosyasının içeriği

2. Prefetch dizinindeki prefetch dosyasının varlığının oluşturulması


Her prefetch dosyasının içeriği, yürütülen uygulamalar hakkında zengin bilgiler sağlar. Prefetch dosyasının iki ana bölümü vardır. Prefetch dosyasının üst veya birinci bölümü, dosyanın meta verilerini içerir. Meta veriler dosya adını, dosya konumunu, ilişkili zaman damgalarını (oluşturulan dosya, son erişilen dosya ve değiştirilen dosya) ve dosyanın yürütme sayısını içerir. Bu bilgi aşağıdaki bölümde genişletilecektir. Prefetch dosyasının ikinci veya alt kısmı, ilk açıldığında yürütülen dosyayla ilişkilendirilmiş dosyaların on saniye anlık görüntüsünü içerir. Bu bilgi aşağıda da genişletilecektir.



Şekil 1: Bir Prefetch Dosyasının İçeriği
Şekil 1: Bir Prefetch Dosyasının İçeriği (hex editör ile açılmış hali)


Şekil 2: Prefetch_info.exe kullanarak Ayrılmış Prefetch dosyası
Şekil 2: Prefetch_info.exe kullanarak Ayrılmış Prefetch dosyası

Şekil 2, Prefetch_info.exe aracı tarafından ayrıştırıldıktan sonra bir prefetch dosyasını göstermektedir. Bir ayrıştırıcının kullanımı ile veriler kolayca yorumlanabilir. Bu örnekte, çalıştırılan dosyanın adı cmd.exe-087B4001.pf prefetch dosyasını oluşturan cmd.exe idi. Aşağıda gösterilen ilişkili zaman damgalarının hepsi UTC'de listelenmiştir. Şekil 2 ayrıca program cmd.exe'nin on beş kez yürütüldüğünü ve cmd.exe dosyasının yürütüldüğü konumu, \Windows\System32\ dizinine eşit olan \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CMD.EXE dosyasını gösterir.


Bu dosyanın içeriğinin adli değeri hemen hemen açıktır. Dosya meta verilerinden bir denetçi, cmd.exe dosyasının yürütüldüğünü, yerini ve sıklığını belirleyebilir. Bu eserler, bir olayın “ne” ve “nerede” olduğunu yanıtlayabilir. Uygulamanın her çalıştırıldığında yürütme sayısı artar. Zaman damgası bilgisi, uygulamanın ilk kez çalıştırıldığını ve en son ne zaman erişildiğini veya yürütüldüğünü gösterir. Bu, belirli bir etkinlik faaliyetinin “ne zaman” gerçekleştiğine cevap verebilir. Otomatik olarak "otomatik başlat" için yapılandırılmış herhangi bir dosya, oluşturulduğunda bir prefetch dosyası kaydetmez. Prefetch dosyası, prefetch klasöründen silinirse, hem zaman damgaları hem de çalıştırılanların sayısı sıfırlanır.


Prefetch dosyasının ikinci yarısı düz metin halinde yazılır, ancak okunması zor olabilir. BinText veya Prefetch_info.exe gibi araçlar, içeriği daha kolay okumayı ve ilgi alanlarını tanımlamayı kolaylaştırarak düzenleyebilir.


Uygulamanın yürütüldüğü yerdeki kaynağın tüm konumlarına göz atma değeri gizli veya gizlenmiş dizin konumlarını açığa çıkarabilir. Şekil 3'te aşağıda gösterildiği gibi, excel.exe dosyası için prefetch dosyası bir TrueCrypt biriminde bulunan one.xls dosyasını gösterir. TrueCrypt, dizinleri görünümden gizleme yeteneğine sahip olduğundan, bir prefetch dosyasında listelenen yolu bulmak, başka türlü tanımlanamayan bir veri kaynağı sağlayabilir. Önyükleme dosyalarının içeriğine göz atarak,


C:\WINDOWS\System32\WiQZC\hidden\hacking\tools\nc.exe gibi gizli bir dizini tanımlamak mümkündür. Çoğu zaman, bilgisayar korsanları, System32 klasöründeki sıradışı dizinlerdeki araçları bizler göremeden gizler. System32 dizini, işletim sistemi tarafından kullanılan birçok program içeren bir klasördür. Sayın okuyucularımız da bilmektedir ki çoğu kullanıcı bu dizine göz atmaz.


Gizli veya Objektif konumların tanımlanması
Şekil 3: Gizli veya Objektif konumların tanımlanması

Önyükleme dosyasındaki tam dizin yolu, Belgeler ve Ayarlar (Windows XP) veya Kullanıcılar klasörü (Vista / Windows 7) altında listelenen tüm kullanıcı hesaplarını da sağlayabilir. Bu, geçmişte bazen potansiyel olarak yetkisiz bir kullanıcı tarafından yürütülen programları göstererek kötü amaçlı etkinlikler için kullanılan geçici bir hesabı ortaya çıkarabilir. Bu, adli bir inceleme için “kim” sorusuna cevap verebilir veya en azından kapsamı daraltabilir. Şekil 4, “admin” kullanıcı hesabından dosya aktivitesini göstermektedir. Bu hesap kötü amaçlı olabilir ve kendini meşru "yönetici" hesabı olarak gizlemeye çalışır. Prefetch dosyalarındaki tüm yolları analiz etmek, bir uygulamanın veya dosyanın harici bir depolama aygıtından erişildiğini gösterebilir. Harici depolama aygıtı girişleri, \ DEVICE \ HARDDISKVOLUME1 \ yerine \ DEVICE \ HARDDISK \ DP (1) 0-0 + D \ gibi bir girdiyle sabit sürücüden farklı olacaktır. Söz konusu harici cihaz, daha sonra son erişim zamanını yeniden yazarak bilgisayara eklenmediği sürece, prefetch dosyasındaki son erişim zamanı USBStor kayıt defteri anahtarındaki zaman damgalarıyla koordineli olarak kullanılabilir. Zaman damgaları eşleştirilerek tanımlandıktan sonra, USBStor kayıt defteri girdisi söz konusu cihazın seri numarasını içerecektir. Bu, adli analizin kapsamını ele geçirilmesi ve analiz edilmesi gereken diğer cihazlara genişletebilir. Hesaplanmamış USB depolama cihazlarının ve bu USB cihazlarında erişilen uygulamaların veya dosyaların tanımlanması “ne” ve “neden” sorularını cevaplamaya yardımcı olabilir.



Anormal hesapların belirlenmesi
Şekil 4: Anormal hesapların belirlenmesi

Prefetch dosyaları, "zamanlama sıklığı" dosyasının oluşup oluşmayacağını da gösterebilir. Bilgisayar korsanlarının bir sistemin güvenliğini aşmasına ve bir uygulamanın veya aracın zaman damgalarını değiştirdiklerinde, hangi bilgilerin bir ön ekleme dosyasında yakalandığının farkında olmayabilirler. Örneğin, Analizi engellemek için Ana Dosya Tablosu'nda (MFT) Standart Bilgi Özniteliği (SIA) ve Dosya Adı Özniteliği (FNA) zaman damgaları değiştirilirse, yürütülen uygulamalar için ön ekleme dosyalarındaki girdiler gerçek zaman damgasını ortaya çıkaracaktır. Giriş ilk kez yapıldı ve "zamanlama" çabalarını tamamen ortadan kaldırarak son kez bakıldıysa, Zaman damgası manipülasyonunu gerçekleştirmek üzere kullanılan araç için bir ön ekleme dosyasının varlığı, şüpheli faaliyeti ortaya koyacaktır.



Adli Amaçlar İçin Prefetch Dosyalarının Kod Çözümü:


Prefetch dosyasının varlığının size neler gösterebileceğini açık bir şekilde vercektir. Prefetch dizininin içeriğinin incelenmesi, hazır oluşturulmuş bir dosya ilk veya daha sonra yürütülen uygulamaların aktivitesini yakaladığı için, herhangi bir bilgisayar sisteminde bir etkinlik geçmişi sağlayabilir. Kılavuz Yazılımı Ücretli yazılımlar veya WinPrefetch View, gibi bir araç kullanarak önyükleme dosyalarını ayıklayabilir ve sadece dosyanın oluşturulmasını veya son erişim zaman damgasını görüntüleyebilirsiniz. İlk ve en önemlisi, prefetch dosyasının varlığı, belirli bir uygulamanın sadece bilgisayarda değil, aynı zamanda bir seferde yürütüldüğünü gösterir. Girişleri dosya oluşturmaya veya son erişim zamanına göre sıralayarak sistemde hangi uygulamaların yürütüldüğünü ve sistemde hangi etkinliğin gerçekleştiğini görmek mümkündür.


Örneğin, Şekil 1'deki girişler 15 Mart 2018 tarihinde iki ayrı DLLHOST.exe programının yürütüldüğünü göstermektedir. İkinci cmd.exe (DLLHOST.exe-1B91EF29.pf) yürütüldükten sonra CONSENT.exe uygulaması (consent.exe-2D674CE4.pf tarafından gösterildiği gibi) yürütüldü; bu, bilgisayar sisteminin bir Windows 8 veya Windows 10 sistemi olduğunu gösterir. Consent.exe programı, CONSENT.exe'den on saniye sonra çalıştırılan MMC.exe uygulaması gibi yönetici erişimi gerektiren bir program isterken kullanıcıya sunulan açılır penceredir. Prefetch dosyalarının varlığı 9 Mart 2018'de, saat 15:20’de DLLHOST.exe'nin iki örneğinin farklı konumlardan yürütüldüğünü ve MMC.exe programının yürütülmesini izlediğini gösterir. Bu olay aynı zamanda CONSENT.exe'nin yürütülmesini de başlatır. (bu dosya ilk olarak MMC'den önce yürütülür. İlk başta kronolojik olarak MMC.exe yürütüldü. MMC programı Microsoft Yönetim Konsolu programıdır ve kullanıcı hesaplarını, Windows Olay günlüklerini, disk yönetimini ve diğer yönetim programlarını yönetmek için kullanılır. Şekil 1’de ayrıca, kullanıcının bir bilgisayar sisteminde uzaktan komutları çalıştırmasına izin veren bir komut satırı aracı olan PSEXEC.exe uygulamasının yürütüldüğünü göstermektedir.



Prefetch Klasörünü Analiz Etme (Windows 10-ssd)
Şekil 5: Prefetch Klasörünü Analiz Etme (Windows 10-ssd)

Öyleyse, araştırmacı dosyalara ne tür bir bilgi verebilir? Aynı uygulama öneki ve farklı sonlandırma hashlarına sahip iki Prefetch dosyasının varlığı, iki farklı konumdan yürütülen iki dosyanın (yani I) göstergesi olacaktır. Prefetch dosyasının isminde bulunan sekiz karakterli hash, uygulamanın yürütüldüğü yere göre belirlenir.


Bu örnekte, hileli bir DLLHOST.exe, Windows\System32'den farklı bir konumdan yürütüldü. Bu senaryo, kötü amaçlı yazılımların tek bir yerde, örneğin masaüstü veya geçici dizininde çalıştırıldığı, daha sonra kendisini orijinal yerinden kaldırdığı ve bir kopyasını Windows \ System32'ye yerleştirdiği, sonra da değiştirildiğinde kendini yeniden çalıştırdığı olası bir zararlı yazılım enfeksiyonunu tespit edebilir konumlarını tespit etme olanağı sunuyor. Bu, iki farklı sekiz karakterle sonlandırılan aynı prefetch dosya önekinin iki örneğinin oluşturulmasına neden olur. Bir adli bilişim incelemesinde iki farklı önekleme dosyası bulunursa ve dosyanın bulunduğu yerin tespit edilmesi gerekiyorsa, deneme yanılma yoluyla bölgeye ters mühendislik yapılabilir. Elbette hazır olarak bir formülü eklemeye ve uygulamanın yürütüldüğü yolu yeniden oluşturmanıza izin verecek sihirli bir algoritma yoktur. Bununla birlikte, sekiz karakterli hash, yürütülen dosyanın konumunu kullanarak bir algoritmadan oluşturulduğundan, herhangi bir dosyayı alabilir, prefetch dosyasının (yani calc.exe) önekine yeniden adlandırabilir ve farklı şüpheli dizinlere yerleştirebilirsiniz. Ardından dosyayı yürütün ve takip dosyası eşleşene kadar prefetch dizinini izleyin.


Prefetch dizinindeki prefetch dosyalarının sayısı ve türü, bilgisayar sistemini kullanan kişi hakkındaki bilgileri de gösterebilir. İşletim sistemi, belirli bir sayı karşılandığında, önyükleme dosyalarının sayısını azaltacaktır. Prefetch dosyalarının sayısı birkaç farklı öğeyi açığa çıkarabilir.


  1. Sistem nispeten yeni ve sistem üzerinde sadece birkaç farklı uygulama yürütüldü. Bu durum, normal bir ev kullanıcısının tipik bir örneğidir. Zaman içinde sadece on ila on beş program kullanabilirler.

  2. Sistem yaygın olarak kullanılmıştır, ya kısa ya da uzun bir süre boyunca kullanıcı (lar) birçok farklı program yürütmüştür. Uygulamanın çalıştırıldığı zaman damgaları ve sayısı, bu uygulamaların kullanıldığı süre ve sıklık hakkında arka plan bilgisi sağlayacaktır.

  3. Uygulanan uygulamaların türü, kullanıcının teknik kabiliyetlerini belirlemede yardımcı olabilir. Örneğin, bireyin yürüttüğü program türlerini tanımlayarak, analist, kullanıcının son derece teknik olup olmadığını belirleyebilir (örneğin, Python ve Perl gibi programlama araçları için Prefetch dosyaları veya IdaPro ve VMWare gibi teknik programlar varsa). nmap, Metasploit veya netcat gibi hacker araçlarının varlığı, bir bilgisayar kullanıcısının doğasını ve amacını kolayca ortaya koyabilir. Öte yandan, kullanıcı sadece Internet web tarayıcıları, posta istemcileri ve sosyal ağ yazılımı (Yahoo, Microsoft'un Instant Messenger) kullanıyorsa, bilgisayar kullanıcısı türüne göre daha iyi bir profil elde edersiniz.


Prefetch dosyasının adli incelemeye yardımcı olmak için nasıl kullanılabileceğine dair bazı pratik adli örnekler aşağıda verilmiştir:


  • Basit bir senaryo, ağ kayıtlarının, PC-A sisteminin, Nessus gibi bir araçla PC-B sistemini taradığını gösterdiği yerdir. Yerel yöneticiler, PC-A kullanıcısını etkinlik hakkında sorduklarında, iddiaları reddettiler ve hatta istedikleri takdirde Nessus aracı için sistemlerini arayabileceklerini söylediler. Görünüşte görünen kullanıcı, kullanımından sonra sadece Nessus aletini çıkarmıştı, ayrıca ayrılmamış tüm alanların üzerine yazmak için BCWipe gibi bir araç kullanılmıştı. Sistem PC-A'nın kullanıcısı, Nessus'u çalıştırdığında, ilk kez ve dosyanın çalıştırıldığı son kez yakalama dosyası, çalıştırılmasının kaç kez yapıldığı ve konumunun bulunduğu yer olan bir Prefetch dosyası oluşturulduğudur. Bu zaman damgaları ağ günlükleri ve sistem PC-B'de kaydedilen herhangi bir etkinlik ile ilişkili olmalıdır. Diğer değerli eser, silme aracı BCWipe için önceden getirilen dosyadır. Aynı türden kanıt oluşturacak bilgiler BCWipe prefetch dosyasında bulunur.

  • Adli bir bakış açısından, bir önyükleme dosyası, bir maaş elektronik tabloyu almayı reddeden bir çalışanın aslında bir harici usb sürücüsünde bulunan bilgisayarlarında ABCorp_2010_Salaries.xls adlı bir Microsoft Excel dosyasını açtığını göstermek için kullanılabilir. Bunun gerçekleşmesi için çalışanın dosyayı açmak için elektronik tabloya çift tıklayarak dosyayı açması gerekirdi.


Prefetch dosyalarını analiz etmek için kullanılabilecek pek çok farklı araç olmasına rağmen, bugüne kadarki en kullanışlı araçlardan ikisi Mark McKinnon tarafından yapılan Prefetch_info.exe (Prefetch _parse_gui.exe), NirSoft tarafından WinPrefetch arayüzüdür. Prefetch_info.exe hem dosyanın meta verilerini (zaman damgaları) hem de NTFS / MFT dosya günlüğünü düzgün biçimde ayrıştıran bir Windows komut satırı aracıdır. Prefetch_info.exe, yalnızca bir kerede bir ön ekleme dosyasında çalıştırılabilir. Bu araç, ilgi çekici bir dosyada sonuçları hızla döndürür.


Mark McKinnon'un ikinci aracı olan Prefetch_parse_gui.exe, prefetch dosyalarının tüm dizinlerini analiz eden grafik tabanlı bir araçtır. NirSoft'un WinPrefetch Görünümü, her bir prefetch dosyasını tüm ilişkili meta verileriyle birlikte listeleyen üst kısım ile modülerleştirilmiştir. Alt kısımda, üst kısımda seçilen prefetch girişi için NTFS / MFT log verisi görüntülenir. Şekil 5, WinPrefetch View için arabirimi göstermektedir. Varsayılan olarak bu araç yerel bilgisayar sisteminin prefetch dosyalarını okuyacaktır. Gelişmiş Seçenekler altında giriş Seçenekler sekmesinde size Prefetch dosyaları bir görüntü dışına çıkarılan olabileceği başka bir konumu seçmenize olanak verir. Aşağıda gösterilen meta veriler sütunlara göre sıralanabilir ve herhangi bir ilgi konusu HTML raporlarına aktarılabilir.


Kullanılan tool görünümü
Şekil 5: Kullanılan tool görünümü

Hiçbir giriş seçilmemişse, “.pf” uzantılı tüm dosyalar işlenecektir. Şekil 3, prefetch dosyalarını barındıran tanımlı uygulamayı analiz ederken ve compmgmt.msc'yi başlatmak için kullanılan tanımlanmış bir komut satırının çıktısını alırken mevcut olan seçenekleri göstermektedir.




Önyükleme dosyaları, rutin bakım yoluyla kasıtlı veya sistematik olarak silindiyse, yine de ilgi çekici dosyaların kurtarılması için her zaman bir şans vardır. Bilgisayar adli incelemesinde sağduyumuz, dosyanın üzerine yeni bir şey yazılmadığı sürece silinmiş olan herhangi bir dosyanın kurtarılabileceğini belirtir. Prefetch dosyaları için aynı kural geçerlidir. Dosya aramak için yaygın bir yöntem, bir dosyanın üstbilgisini aramaktır. Her dosyanın ayırt edici bir dosya başlığı olduğundan, belirtilen prefetch dosya üst bilgisini arayan ayrılmamış alandan arama yapabiliriz. ASCII'deki bu başlık “… .CCA” dir. Onaltılık olarak, prefetch dosyası “11 00 00 00 53 43 43 41” olarak temsil edilir. Dosya belirlendikten sonra, yukarıda belirtilen araçlardan biriyle içi açılabilir ve analiz edilebilir. Prefetch dosyalarında dosya altbilgisi bulunmadığından, olası bir prefetch dosyası çıkarılırken fazladan verilerin çıkarılması olağandır. Fazla veri, kolayca tanınacak ve atılacaktır.


Prefetch dosyalarını analiz ederken dikkat edilmesi gereken birkaç öğe vardır: Belirli uygulamalar yürütüldüğünde ve “açık durumdayken” uygulama kapatılıncaya kadar önyükleme dosyası oluşturulmaz. Örneğin, uygulama netcat'i 14 Haziran'da saat 13: 00'te ilk kez çalıştırılmışsa ancak dosya 15 Haziran’a kadar 15: 00’e kadar kapatılmamışsa, dosyaya dosya aktarılıncaya kadar önyükleme dosyası oluşturulmaz. Netcat uygulaması, ilk yürütüldüğünden yirmi altı saat sonra kapatılır. Dosya oluşturmadaki bu gecikme, zaman çizelgesi analizine atılacaktır. Bir kullanıcının Başlangıç dizininde bulunan programlar bir prefetch dosyası oluşturmaz.


Prefetch dosyaları için bir İnternet araması yaparken, ilk bulguların çoğu, kullanıcıların bilgisayarlarını hızlandırmak için prefetch dosyalarını kaldırmasını söyler. Bu, adli bilişim karşıtı bir işaret olmayabilir. Prefetch dosyalarının olmaması, sistemin ön kayıt işlemini devre dışı bırakmak için değiştirilmiş olabilecek kayıt defteri anahtarı ayarları “Prefetcher'ı Etkinleştir” seçeneğinden kaynaklanıyor olabilir. Aşağıda, önyükleme ile ilgili olarak işletim sisteminin hangi eylemleri gerçekleştireceğini kontrol eden kayıt defteri anahtarı bulunmaktadır. Varsayılan olarak Windows XP, Vista ve Windows 7, hem uygulama hem de önyükleme önbelleği etkinleştirilmiş olan bir “3” değerine sahiptir. Windows 2003 sistemlerinde varsayılan değer “2” dir, bu nedenle uygulama önyüklemesi yoktur.


Windows Birleştirme araçları, DRAG.exe ve DFRNTFS.exe için bir prefetch dosyasının varlığı, bir prefetch dosyasını kaldırmayı ya da bazı kötü amaçlı etkinlikleri örtbas etmek için bilgisayarlarını birleştirmeyi de zorunlu kılmaz. Windows işletim sistemi, özellikle Görev Zamanlayıcısı, Layout.ini dosyasındaki girdileri yeniden tahsis etmek için birleştirme işlemini başlatır. Bu olduğunda, yeni bir prefetch dosyası oluşturulacak, DFRNTFS.exe ve DEFRAG.exe.Bu Prefetch dosyaları zaten mevcutsa, çalıştırma sayısı her çalıştırıldığında bir artar.


Bu açıklamalar, adli analiz yürütürken, prefetch dosya analizinden kurtarılabilen birçok farklı adli delili ortaya koymaktadır. Prefetch dosya analizinin bir soruşturmaya yardımcı olup olmadığı, yürütülen adli soruşturmanın türüne bağlıdır.