Parses Windows Prefetch files with windowsprefetch Python library to reconstruct execution history, detect renamed or disguised binaries, and identify suspicious execution patterns for digital forensics.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
Windows Prefetch 文件(.pf)记录应用程序执行数据,包括可执行文件名称、运行次数、时间戳、已加载 DLL 及已访问目录。本技能涵盖使用 windowsprefetch Python 库解析 Prefetch 文件以重建执行时间线,通过比较可执行文件名称与加载的资源来检测重命名或伪装的二进制文件,以及识别可能表示恶意软件执行或横向移动的可疑程序。
Parses Windows Prefetch files with windowsprefetch Python library to reconstruct execution timelines, detect renamed binaries, and identify suspicious programs in forensics investigations.
Parses Windows Prefetch files with windowsprefetch Python library to reconstruct execution timelines, detect renamed or masquerading binaries, and flag suspicious programs for digital forensics and incident response.
Parses Windows Prefetch files to extract program execution history, run counts, timestamps, and referenced files for digital forensics investigations.
Share bugs, ideas, or general feedback.
Windows Prefetch 文件(.pf)记录应用程序执行数据,包括可执行文件名称、运行次数、时间戳、已加载 DLL 及已访问目录。本技能涵盖使用 windowsprefetch Python 库解析 Prefetch 文件以重建执行时间线,通过比较可执行文件名称与加载的资源来检测重命名或伪装的二进制文件,以及识别可能表示恶意软件执行或横向移动的可疑程序。
windowsprefetch 库(pip install windowsprefetch)C:\Windows\Prefetch\ 的 Windows Prefetch 文件(支持版本 17-30)从目标系统的 C:\Windows\Prefetch\ 目录收集 .pf 文件。
提取可执行文件名、运行次数、最后执行时间戳及卷信息。
标记已知攻击工具(mimikatz、psexec 等)、重命名的二进制文件和异常执行模式。
从所有 Prefetch 文件重建按时间顺序排列的执行时间线。
包含执行历史、可疑可执行文件、重命名二进制文件指标及时间线重建的 JSON 报告。