Stats
Actions
Tags
Parses Windows Prefetch files with windowsprefetch Python library to reconstruct execution history, detect renamed or disguised binaries, and identify suspicious execution patterns for digital forensics.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:analyzing-windows-prefetch-with-pythonThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
Windows Prefetch 文件(.pf)记录应用程序执行数据,包括可执行文件名称、运行次数、时间戳、已加载 DLL 及已访问目录。本技能涵盖使用 windowsprefetch Python 库解析 Prefetch 文件以重建执行时间线,通过比较可执行文件名称与加载的资源来检测重命名或伪装的二进制文件,以及识别可能表示恶意软件执行或横向移动的可疑程序。
Windows Prefetch 文件(.pf)记录应用程序执行数据,包括可执行文件名称、运行次数、时间戳、已加载 DLL 及已访问目录。本技能涵盖使用 windowsprefetch Python 库解析 Prefetch 文件以重建执行时间线,通过比较可执行文件名称与加载的资源来检测重命名或伪装的二进制文件,以及识别可能表示恶意软件执行或横向移动的可疑程序。
windowsprefetch 库(pip install windowsprefetch)C:\Windows\Prefetch\ 的 Windows Prefetch 文件(支持版本 17-30)从目标系统的 C:\Windows\Prefetch\ 目录收集 .pf 文件。
提取可执行文件名、运行次数、最后执行时间戳及卷信息。
标记已知攻击工具(mimikatz、psexec 等)、重命名的二进制文件和异常执行模式。
从所有 Prefetch 文件重建按时间顺序排列的执行时间线。
包含执行历史、可疑可执行文件、重命名二进制文件指标及时间线重建的 JSON 报告。
npx claudepluginhub killvxk/cybersecurity-skills-zhParse Windows Prefetch files using the windowsprefetch Python library to reconstruct execution history, detect renamed binaries, and identify suspicious program execution patterns.
Parse Windows Prefetch files using the windowsprefetch Python library to reconstruct execution history, detect renamed binaries, and identify suspicious program execution patterns.
Parses Windows Prefetch files with windowsprefetch Python library to reconstruct execution timelines, detect renamed or masquerading binaries, and flag suspicious programs for digital forensics and incident response.