Được xuất bản vào ngày 16 tháng 4 năm 2026, 1 giờ chiều EDT
Kinh nghiệm của Afam trong lĩnh vực xuất bản công nghệ bắt đầu từ năm 2018, khi anh làm việc cho Make Tech Easier. Trong những năm qua, ông đã tạo dựng được danh tiếng nhờ xuất bản các bài viết hướng dẫn, đánh giá, thủ thuật và giải thích chất lượng cao, bao gồm Windows, Linux và các công cụ nguồn mở. Tác phẩm của anh đã được giới thiệu trên các trang web hàng đầu, bao gồm cả Digital Ustad, Windows Report, Guiding Tech, Alphr và Next of Windows.
Anh có bằng đầu tiên về Khoa học Máy tính và là người ủng hộ mạnh mẽ quyền riêng tư và bảo mật dữ liệu, với một số mẹo, video và hướng dẫn về chủ đề này được đăng trên kênh YouTube Fuzo Tech.
Khi không làm việc, anh ấy thích dành thời gian cho gia đình, đạp xe hoặc chăm sóc khu vườn của mình.
Trong khi sử dụng máy tính, bạn có thể đột nhiên nghe thấy tiếng quạt kêu to hơn một chút hoặc nhận thấy mức sử dụng CPU tăng đột ngột mà bạn không bắt đầu bất kỳ tác vụ mới nào. Trên điện thoại, bạn có thể dễ dàng xem những gì đã khởi chạy và khi nào, nhưng Windows không cung cấp cho bạn lịch sử hoạt động rõ ràng.
Tuy nhiên, điều này không có nghĩa là dữ liệu về những gì đang chạy không có trên máy tính của bạn. Windows thực sự ghi lại và lưu trữ hoạt động thực thi trên các phần khác nhau của thiết bị. Nếu biết nơi cần tìm, bạn có thể ghép dữ liệu này lại với nhau và thông tin đó sẽ trở nên rất hữu ích trong việc quản lý hoặc khắc phục sự cố máy tính của bạn.
Windows đã ghi lại những gì chạy
Dữ liệu tồn tại — nó nằm rải rác trên hệ thống
Hoạt động của ứng dụng gắn liền với việc tối ưu hóa hiệu suất, ghi nhật ký bảo mật và theo dõi khả năng tương thích; đó là lý do tại sao Windows ghi lại nó.
Tuy nhiên, đối với hệ điều hành, chỉ có ba nguồn chính cung cấp thông tin này. Đầu tiên là Tìm nạp trước, ghi nhật ký thực thi với mục đích tăng tốc các lần khởi chạy trong tương lai. Tiếp theo là Trình xem sự kiện, có thể hữu ích trong việc xem các quy trình có thể gây ra sự cố, nhưng quan trọng hơn, miễn là tính năng kiểm tra được bật, nó sẽ ghi lại các sự kiện tạo quy trình. Cuối cùng, chúng tôi có AmCache, hoạt động như một kho lưu trữ siêu dữ liệu cho các ứng dụng đã chạy hoặc hiện có.
Ba dịch vụ này nắm bắt riêng biệt các phân đoạn hoạt động ứng dụng trên máy tính của bạn. Vì vậy, về mặt cá nhân, không phải lúc nào bạn cũng có được dòng thời gian đầy đủ. Tuy nhiên, Tìm nạp trước là điểm bắt đầu dễ tiếp cận nhất vì bạn không cần bất kỳ cấu hình bổ sung nào để truy cập vào dữ liệu đang chờ đọc.
Tìm nạp trước là thứ gần gũi nhất với lịch sử hoạt động của ứng dụng
Nó ghi lại những gì đang chạy như một tác dụng phụ của việc tăng tốc mọi thứ
Khi khởi chạy ứng dụng, hệ điều hành sẽ theo dõi các tệp mà nó sử dụng để có thể tải trước chúng vào lần khởi chạy tiếp theo. Đây là một cách thông minh để tối ưu hóa tốc độ. Tuy nhiên, nó cũng có tác dụng phụ là ghi lại mọi lần thực thi.
Tất cả các bản ghi thực thi được lưu trữ trong đường dẫn:C:\Windows\Prefetch . Việc chạy một ứng dụng sẽ khiến Windows tạo tệp .pf. Tệp này được đặt tên theo tệp thực thi và bao gồm hàm băm được tạo từ vị trí ứng dụng được khởi chạy. Điều này có nghĩa là một chương trình có thể có nhiều tệp .pf nếu chúng được chạy từ các vị trí khác nhau.
Tuy nhiên, những tập tin này chứa rất nhiều chi tiết thú vị. Đầu tiên, có tên thực thi, đường dẫn đầy đủ, số lần chạy, thời gian khởi chạy lần cuối và (trên Windows mới hơn) tối đa tám dấu thời gian gần đây.
Điều làm cho nhật ký này có giá trị hơn trên hệ thống hiện đại là nó chứa khoảng 1.024 mục nhập Tìm nạp trước trước khi chúng bị ghi đè. Đây là phạm vi hoạt động phù hợp cho hầu hết các trường hợp sử dụng. Vẫn còn tốt hơn, ngay cả sau khi gỡ cài đặt một ứng dụng, những mục này không bị xóa tự động. Chúng vẫn là dấu ấn vững chắc từ hoạt động trước đây.
Trên các hệ thống hiện đại chạy trên SSD, tính năng Tìm nạp trước có thể bị tắt vì nó không mang lại lợi thế lớn về hiệu suất. Vì vậy nếu thư mục trống có nghĩa là Prefetch đã bị vô hiệu hóa hoặc không được sử dụng. May mắn thay, vẫn có những lựa chọn khác.
Liên quan
Lệnh Windows này cho tôi biết chính xác nguyên nhân khiến PC của tôi gặp sự cố
Đừng đoán nguyên nhân BSOD nữa — phương pháp này sẽ nhanh chóng phát hiện ra thủ phạm thực sự.
WinPrefetchView làm cho dữ liệu hệ thống thô dễ diễn giải
Tệp tìm nạp trước là tệp nhị phân và con người không thể đọc được (bạn không thể mở chúng trong trình soạn thảo văn bản). Đây là lúc một công cụ đơn giản như WinPrefetchView của NirSoft phát huy tác dụng. Công cụ này chính thức hỗ trợ Windows XP cho đến Windows 10, nhưng nó cũng hoạt động trên Windows 11. Tất cả những gì công cụ này làm là đọc dữ liệu hệ thống tĩnh.
Sau khi bạn tải xuống và giải nén, nó sẽ tự động quét máy tính của bạn và đưa vào giao diện của nó các tệp .pf. Nó hiển thị tên thực thi cũng như số lần chạy, cùng với thời gian chạy và thời điểm nó được ghi lần đầu tiên. Nó cũng hiển thị vị trí của chương trình trên đĩa của bạn.
Tôi muốn sắp xếp theo hoạt động gần đây để xây dựng dòng thời gian và hiểu rõ hơn về dữ liệu. Ngoài ra, trong tab Tùy chọn, bạn có thể sử dụng tùy chọn Ẩn chương trình trong thư mục Windows để xóa các quy trình cấp hệ thống khỏi chế độ xem của bạn.
<đầu>Cột
Nó cho bạn biết điều gì
Những gì cần tìm
Chạy bộ đếm
Tần suất chạy ứng dụng
Số lượng ứng dụng không quen thuộc cao
Thời gian chạy cuối cùng
Lần thực hiện gần đây nhất
Hoạt động vào giờ lẻ
Đã tạo thời gian
Lần thực hiện được ghi lại đầu tiên
Ứng dụng được giới thiệu gần đây
Đường dẫn tệp
Ứng dụng nằm ở đâu
Thư mục tạm thời hoặc thư mục bất thường
Khi bạn sàng lọc dữ liệu, những điểm chính sau đây rất quan trọng để bạn hiểu dữ liệu:
- Những tên thực thi chưa xác định đáng được xem xét kỹ hơn.
- Số lần chạy cao có thể cho biết hoạt động ở chế độ nền.
- Đường dẫn tệp trỏ đến thư mục tạm thời đáng được chú ý.
- Dấu thời gian không khớp với thói quen sử dụng của bạn có thể tiết lộ quá trình tự động hóa.
Trong khi diễn giải dữ liệu, hãy nhớ rằng nó chỉ hiển thị những gì đã chạy chứ không nhất thiết là những gì nó đã làm. Vì vậy, hãy cố gắng đừng diễn giải quá mức những gì bạn nhìn thấy.
WinPrefetchView
WinPrefetchView là một tiện ích NirSoft nhỏ, di động, có chức năng đọc và hiển thị nội dung của các tệp Windows Prefetch (.pf).
Khi Tìm nạp trước không hiển thị gì
Nếu bạn không có bất kỳ dữ liệu nào được lưu trữ trong Tìm nạp trước của máy tính, bạn có các tùy chọn khác. Đầu tiên là AmCache, nằm ở đường dẫn:C:\Windows\AppCompat\Programs\Amcache.hve . Trong tệp này, bạn có thể xem siêu dữ liệu của các ứng dụng đang chạy, bao gồm cả đường dẫn và mã nhận dạng. Mặc dù nó có thể chi tiết hơn Tìm nạp trước theo một số cách nhưng nó không phải lúc nào cũng xác nhận việc thực thi một cách chắc chắn.
Trong Trình xem sự kiện, các quy trình được gắn với ID sự kiện 4688 thường có thông tin chi tiết về những gì đã chạy và khi nào. Tuy nhiên, điều này không được ghi lại theo mặc định trên Windows và trước tiên bạn cần bật kiểm tra quy trình theo cách thủ công, làm cho tùy chọn này trở thành tùy chọn phù hợp hơn với người dùng nâng cao.
Khi Tìm nạp trước chứa dữ liệu, đây là cách dễ dàng nhất; AmCache có thể lấp đầy khoảng trống khi Tìm nạp trước trống.