killvxk/analyzing-windows-prefetch-with-python
skills/analyzing-windows-prefetch-with-python/SKILL.md
使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh analyzing-windows-prefetch-with-pythonInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 17, 2026, 4:25 AM28.1s3 files scanned
SKILL.md
- name:
- analyzing-windows-prefetch-with-python
- description:
- 使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。
- domain:
- cybersecurity
- subdomain:
- digital-forensics
- tags:
- [digital-forensics, windows, prefetch, execution-history, incident-response, malware-analysis]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
使用 Python 分析 Windows Prefetch
概述
Windows Prefetch 文件(.pf)记录应用程序执行数据,包括可执行文件名称、运行次数、时间戳、已加载 DLL 及已访问目录。本技能涵盖使用 windowsprefetch Python 库解析 Prefetch 文件以重建执行时间线,通过比较可执行文件名称与加载的资源来检测重命名或伪装的二进制文件,以及识别可能表示恶意软件执行或横向移动的可疑程序。
前置条件
- Python 3.9+ 及
windowsprefetch库(pip install windowsprefetch) - 来自
C:\Windows\Prefetch\的 Windows Prefetch 文件(支持版本 17-30) - 了解 Windows Prefetch 文件命名规范(EXECUTABLE-HASH.pf)
步骤
步骤 1:收集 Prefetch 文件
从目标系统的 C:\Windows\Prefetch\ 目录收集 .pf 文件。
步骤 2:解析执行历史
提取可执行文件名、运行次数、最后执行时间戳及卷信息。
步骤 3:检测可疑执行
标记已知攻击工具(mimikatz、psexec 等)、重命名的二进制文件和异常执行模式。
步骤 4:构建执行时间线
从所有 Prefetch 文件重建按时间顺序排列的执行时间线。
预期输出
包含执行历史、可疑可执行文件、重命名二进制文件指标及时间线重建的 JSON 报告。
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-pass-the-ticket-attack
tools
VerifiedTrustedCommunity
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
10SKILL.mdUpdated Apr 29, 2026