我试图列出Windows Prefetch文件中的一些细节,例如Filename,FileCreatedTime, FileModifiedTime,文件大小,进程名称,进程路径,运行计数器&上次运行时间。 虽然有许多工具,如Nirsoft WinPrefetchViewer和更多可用的工具。我想到了创造 一个内部为我的组织。 除了Process完整路径之外,我已经破解或提取了这些细节 (对于例如C:\ Program Files(x86)\ Mozilla Firefox \ Firefox.exe,以防Firefox可执行)。 为了提供更多细节,我已将.pf文件转换为十六进制格式,以便扩展偏移地址 该字段并相应地将它们转换为十进制或Asci。 花费大量时间探索我无法找到完整过程的偏移地址 预取文件中的路径。 如果有人在这方面通过光明会很棒。