Служба prefetch что это

Служба prefetch в Win 7 что это? – О компьютерах просто

Служба prefetch что это

В процессе изучения Windows 7, 8, 10, либо устранения возникших проблем, Вы столкнетесь с необходимостью знакомства с компонентами и предназначения папок ОС. В данном материале разберем такие вопросы: Prefetch — что за папка, можно ли удалить, и где она находится.

Расположение и функции папки Prefetch

Каждый раз, когда Вы включаете компьютер, Windows отслеживает, как запускается Ваш ПК, и какие программы Вы часто открываете. Windows сохраняет эту информацию в виде небольших файлов в папке Prefetch. При следующем включении компьютера ОС ссылается на эти файлы, чтобы ускорить процесс запуска.

Папка Prefetch находится в каталоге ОС, полное расположение выглядит так:

C:\Windows\Prefetch. В вашем конкретном случае метка тома может отличаться.

Перейдя в папку, Вы увидите каталог ReadyBoot и файлы в основном с расширением pf. Например, загрузка ОС трассируется в файл с названием NTOSBOOT-B00DFAAD.pf. Все остальные элементы являются трассировками запуска программ и служебных компонентов. Файлы имеют в названии имя исполняемого файла, его шестнадцатеричного хеша пути и расширение, например, EXCEL.EXE-53A22446.pf.

Работу по формированию файлов трассировки выполняет компонент Prefetcher, но без функционирующего планировщика заданий Prefetcher будет работать неправильно. Данные поступившие от Prefetcher обрабатываются планировщиком заданий и далее записываются в папку Prefetch.

Также стоит обратить внимание на файл Layout.ini. Он создается каждые 3 дня и хранит в себе данные (перечень файлов и папок), которые используются при запуске системы и программ. Данные из Layout.ini использует утилита дефрагментации диска для рационального размещения файлов на жестком диске.

Мифы про удаление содержимого папки Prefetch

Часто утверждается, что удаление папки Prefetch приводит к меньшему времени загрузки и большей свободной памяти.

Некоторые эксперты считают, что Windows загружает информацию из папки Prefetch для всех программ, которые когда-нибудь запускались на ПК, в оперативную память, тем самым заполняя ее неиспользуемыми данными (это неверно).

Эти эксперты рекомендуют удалять на регулярной основе содержимое папки Prefetch, чтобы сохранить память от неиспользуемых данных.

Папка Prefetch является самообслуживающейся, нет необходимости удалять или очищать ее содержимое. Windows поддерживает определенное число записей в Prefetch и очищает автоматически излишние данные, предотвращая увеличение объемов папки.

Если Вы опустошите содержимое папки вручную, тогда Windows и программы займут больше времени для запуска при следующем включении компьютера. Удаленные данные будут воссоздаваться, что приведет к длительному времени загрузки.

Удалять папку Prefetch или ее содержимое с точки зрения освобождения памяти на жестком диске бессмысленно, тат как она весит мало. В нашем случае это около 40 мб.

Управление компонентами SuperFetch и Prefetch

По умолчанию Windows 7, 8, 10 отключает автоматически SuperFetch и Prefetch при обнаружении загрузки системы с SSD. Для SSD данные технологии не представляют ценности и вовсе тормозят процессы запуска, излишними операциями. Если ОС автоматически для SSD не отключила данные компоненты, тогда читайте инструкцию ниже.

SuperFetch – это служба, которая предсказывает, какие приложения Вы будете запускать дальше, и предварительно загружает эти данные в память. Windows дает возможность пользователю изменить настройки или отключить SuperFetch и Prefetch, через реестр и службы ОС. Если Вы используете традиционный HDD, тогда эти функции отключать не рекомендуется.

Важно! Во избежание ошибок, сделайте резервную копию реестра или точку восстановления системы.

Откройте реестр Windows 7, 8,10. В реестре перейдите до раздела PrefetchParameters (путь внизу скриншота). Обратите внимание на 2 параметра EnablePrefetcher, EnableSuperfetch.

Кликните далее двойным кликом по EnablePrefetcher. В поле «значение» установите новый параметр.

Значения для EnablePrefetcher:

  • 0 – отключение;
  • 1 — Включение для запуска приложений;
  • 2 — Включение для запуска системы;
  • 3 — Включение для запуска приложений и системы.

По умолчанию задано значение 3, измените его на 0 или на 1, 2. После изменений кликните OK.

Значения для EnableSuperfetch:

  • 0 – отключение;
  • 1 — Включение для загрузочных файлов;
  • 2 — Включение для приложений;
  • 3 — Включение для загрузочных файлов и приложений.

Теперь Вы знаете, что за папка Prefetch, можно ли удалить и какие компоненты ОС ей управляют. Содержимое папки лучше не трогать, она обслуживает сама себя, нет необходимости участия пользователя. На HDD лучше не отключать функции  SuperFetch и Prefetch, это замедлит систему в целом.

Источник: http://nastrojcomp.ru/fajly-i-papki/prefetch-chto-za-papka-mozhno-li-udalit.html

Служба prefetch что это

SuperFetch – это некая служба, которая представляет собой приложение для пред загрузки различного рода программ. Другими словами, анализируя вашу систему на предмет активно использующихся утилит, после запуска она добавляет их в память компьютера. Делается это с целью максимально ускорить загрузку приложений для последующей работы с ними.

Источник: https://ruspchelper.com/sluzhba-prefetch-v-win-7-chto-eto/

Охотимся на техники и тактики атакующих с использованием Prefetch-файлов

Служба prefetch что это

Файлы трассировки, или Prefetch-файлы, появились в Windows еще со времен XP.

С тех пор они помогали специалистам по цифровой криминалистике и реагированию на компьютерные инциденты находить следы запуска программ, в том числе вредоносных.

Ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин рассказывает, что можно найти с помощью Prefetch-файлов и как это сделать.

Prefetch-файлы хранятся в каталоге %SystemRoot%\Prefetch и служат для ускорения процесса запуска программ. Если мы посмотрим на любой из этих файлов, то увидим, что его имя состоит из двух частей: имени исполняемого файла и контрольной суммы от пути к нему, состоящей из восьми символов.

Prefetch-файлы содержат массу полезной с криминалистической точки зрения информации: имя исполняемого файла, количество его запусков, списки файлов и каталогов, с которыми взаимодействовал исполняемый файл, и, разумеется, временные метки. Обычно криминалисты используют дату создания того или иного Prefetch-файла для определения даты первого запуска программы. Кроме того, данные файлы хранят дату ее последнего запуска, а начиная с версии 26 (Windows 8.1) — временные метки семи последних запусков.

Давайте возьмем один из Prefetch-файлов, извлечем из него данные средствами PECmd Эрика Циммермана и посмотрим на каждую их часть. Для демонстрации я извлеку данные из файла CCLEANER64.EXE-DE05DBE1.pf.

Итак, начнем сверху. Разумеется, у нас есть временные метки создания, модификации и доступа к файлу: За ними следуют имя исполняемого файла, контрольная сумма пути к нему, размер исполняемого файла, а также версия Prefetch-файла: Так как мы имеем дело с Windows 10, далее мы увидим количество запусков, дату и время последнего запуска и еще семь временных меток, указывающих на предыдущие даты запуска: За ними следует информация о томе, включая его серийный номер и дату создания: И последнее, но не менее важное — список каталогов и файлов, с которыми взаимодействовал исполняемый файл: Итак, каталоги и файлы, с которыми взаимодействовал исполняемый файл, — это как раз то, на чем я хочу сегодня сосредоточиться. Именно эти данные позволяют специалистам по цифровой криминалистике, реагированию на компьютерные инциденты или проактивному поиску угроз установить не только факт исполнения того или иного файла, но и, в некоторых случаях, — реконструировать конкретные тактики и техники атакующих. Сегодня злоумышленники достаточно часто используют инструменты для безвозвратного удаления данных, например, SDelete, поэтому способность восстанавливать хотя бы следы использования тех или иных тактик и техник просто необходима любому современному защитнику — компьютерному криминалисту, специалисту по реагированию на инциденты, ThreatНunter-эксперту.

Давайте начнем с тактики Initial Access (TA0001) и самой популярной техники — Spearphishing Attachment (T1193). Некоторые киберпреступные группы относятся к выбору таких вложений довольно творчески.

Например, группа Silence использовала для этого файлы в формате CHM (Microsoft Compiled HTML Help). Таким образом, перед нами еще одна техника — Compiled HTML File (T1223). Такие файлы запускаются с помощью hh.

exe, следовательно, если мы извлечем данные из его Prefetch-файла, то узнаем, какой именно файл был открыт жертвой:

Продолжим работать с примерами из реальных дел и перейдем к следующей тактике Execution (TA0002) и технике CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) может использоваться атакующими для запуска вредоносных сценариев. Хороший пример — группа Cobalt. Если мы извлечем данные из Prefetch-файла cmstp.exe, то снова сможем узнать, что именно было запущено:
Еще одна популярная техника — Regsvr32 (T1117). Regsvr32.exe также часто используется атакующими для запуска. Вот и еще один пример от группы Cobalt: если мы извлечем данные из Prefetch-файла regsvr32.exe, то снова увидим, что было запущено:
Следующие тактики — Persistence (TA0003) и Privilege Escalation (TA0004), а также Application Shimming (T1138) в качестве техники. Эта техника использовалась Carbanak/FIN7 для закрепления в системе. Обычно для работы с базами данных с информацией о совместимости программ (.sdb) используется sdbinst.exe. Следовательно, Prefetch-файл данного исполняемого файла может помочь нам узнать имена таких баз данных и их расположение: Как видно на иллюстрации, мы имеем не только имя файла, использованного для инсталляции, но и имя инсталлированной базы данных.

Давайте взглянем на один из наиболее типичных примеров продвижения по сети (TA0008) — PsExec, использующего административные общие ресурсы (T1077).

Служба с именем PSEXECSVC (разумеется, может использоваться и любое другое имя, если атакующие использовали параметр -r) будет создана на целевой системе, следовательно, если мы извлечем данные из Prefetch-файла, то увидим, что было запущено:

Закончу я, пожалуй, на том, с чего начинал — удаление файлов (T1107). Как я уже отмечал, многие атакующие используют SDelete для безвозвратного удаления файлов на разных стадиях жизненного цикла атаки. Если мы взглянем на данные из Prefetch-файла sdelete.exe, то увидим, что именно было удалено:

Разумеется, это не исчерпывающий список техник, которые можно обнаружить в ходе анализа Prefetch-файлов, но этого должно быть вполне достаточно, чтобы понять, что такие файлы могут помочь не только найти следы запуска, но и реконструировать конкретные тактики и техники атакующих.

Источник: https://habr.com/ru/company/group-ib/blog/487516/

Стоит ли отключать SysMain (SuperFetch) в Windows 10?

Служба prefetch что это

Часто для улучшения производительности и быстродействия компьютера Windows 10 рекомендуют отключать службу SysMain (SuperFetch). Безопасно ли делать это и будет ли польза от отключения службы? Разберемся подробнее

Пользователи Windows 10 иногда сталкиваются с проблемами быстродействия системы. Часто причина заключается в неправильных системных настройках. Среди многих способов улучшить производительность Windows 10 есть один менее очевидный – изменение статуса службы SysMain (ранее – SuperFetch).

В описании SysMain (SuperFetch) говорится, что данная служба “поддерживает и улучшает производительность системы с течением времени”. Однако механизм работы сервиса подробно не раскрывается.

SuperFetch – это функция, которая впервые появилась в Windows Vista. Служба постоянно работает в фоновом режиме, анализирует шаблоны обработки оперативной памяти и узнает, какие приложения используется чаще всего. Со временем SuperFetch помечает эти приложения как “часто используемые” и заранее загружает их в оперативную память.

Таким образом, благодаря работе SuperFetch, запуск приложения будет происходить гораздо быстрее, потому что оно уже было предварительно загружено в ОЗУ.

По умолчанию SuperFetch заполняет свободную область оперативной памяти загружаемыми приложениями. Как только операционной системе потребуется больше оперативной памяти (например, для загрузки приложения, которое не было предварительно загружено) SuperFetch освободит необходимый объем ОЗУ.

SuperFetch является преемником службы Prefetch, которая появилась еще в Windows XP. Однако, Prefetch не анализировал шаблоны использования и не настраивал предварительную загрузку соответствующим образом.

В большинстве случаев SuperFetch действительно несет пользу. Если вы являетесь обладателем современного компьютера хотя бы со средними характеристиками, служба SuperFetch будет работать нормально и не доставит неприятностей.

Тем не менее, SuperFetch может вызывать некоторые проблемы:

  • Поскольку SuperFetch всегда работает в фоновом режиме, сама служба всегда использует ресурсы процессора и оперативную память.
  • SuperFetch полностью не устраняет необходимость загрузки приложений в оперативную память, но просто ускоряет этот процесс. Всякий раз, когда происходит загрузка, ваша система будет испытывать такое же замедление, как если бы вы запускали приложение без SuperFetch.
  • Запуск системы может замедлиться, потому что SuperFetch предварительно загружает большой объем данных с вашего жесткого диска в оперативную память. Если при каждом запуске или перезагрузке компьютера, ваш жесткий диск работает на 100%-ной загрузке в течение нескольких минут, то SuperFetch может быть виновником.
  • Эффект от использования SuperFetch может быть незаметным, если Windows 10 установлена на SSD. Поскольку SSD работает очень быстро, предварительная загрузка не требуется.
  • SuperFetch может вызывать проблемы в играх, если в вашей системе установлено 4 гигабайта памяти или меньше. Данная проблема актуальна для игр, использующих большой объем ОЗУ, которые постоянно запрашивают и освобождают память. Данное поведение может заставить SuperFetch постоянно загружать и выгружать данные.

Да, это безопасно для системы, но существует риск побочных эффектов от этого действия. Если ваша система работает хорошо, то рекомендуется оставить службу SuperFetch включенной.

Если вы испытываете проблемы с высокой загрузкой жесткого диска, большим объемом потребляемой памяти или заметили ухудшение производительности во время активных операций с ОЗУ, то попробуйте отключить SuperFetch и понаблюдать за работой системы.

Если что-то пойдет не так, вы всегда сможете снова включить службу.

  • Приложение Службы
  • Системный реестр
  • Командная строка
  • Windows PowerShell
  1. Откройте меню Пуск, введите запрос Службы и выберите одноименное классическое приложение. В качестве альтернативы можно использовать сочетание клавиш Windows+R, а затем введите services.msc и нажмите OK.
  2. Прокрутите список служб и щелкните правой кнопкой мыши по службе SysMain, затем выберите пункт “Остановить”.
  3. Щелкните правой кнопкой мыши по SysMain, выберите пункт “Свойства”. На вкладке “Общие” в разделе “Тип запуска” выберите значение “Отключено” (или “Вручную”, если вы хотите самостоятельно запускать службу по мере необходимости).

Как включить SysMain через службы: Чтобы включить службу SysMain обратно, в разделе “Тип запуска” выберите “Автоматически”.

  • Откройте меню Пуск, введите запрос regedit и выберите предложенную команду для запуска. В качестве альтернативы можно использовать сочетание клавиш Windows+R, а затем введите regedit и нажмите OK.
  • Перейдите по следующему пути:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

  • Справа вы должны увидеть параметр EnableSuperfetch. Если его нет, то его нужно создать вручную: щелкните правой кнопкой мыши по папке “PrefetchParameters” и выберите Создать > Параметр DWORD (32 бита).
  • Щелкните по параметру EnableSuperfetch правой кнопкой мыши и выберите “Изменить”. Чтобы отключить Superfetch, установки значение 0 и нажмите ОК.

Как включить SysMain через реестр: Чтобы включить службу SysMain обратно, для параметра “EnableSuperfetch” установите значение 3.

  • Откройте меню Пуск, введите запрос cmd и запустите Командную строку от имени администратора.
  • Чтобы отключить службу SysMain выполните следующую команду:

sc stop “SysMain” & sc config “SysMain” start=disabled

  • Чтобы включить службу SysMain выполните следующую команду:

sc config “SysMain” start=auto & sc start “SysMain”

  • Нажмите правой кнопкой мыши по меню Пуск, и выберите Windows PowerShell (администратор).
  • Чтобы отключить службу SysMain выполните следующую команду:

Stop-Service -Force -Name “SysMain”; Set-Service -Name “SysMain” -StartupType Disabled

  • Чтобы включить службу SysMain выполните следующую команду:

Set-Service -Name “SysMain” -StartupType Automatic -Status Running

Источник: https://www.comss.ru/page.php?id=4685

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.