Fichiers Prefetch
Qu'est-ce que Fichiers Prefetch ?
Fichiers PrefetchFichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.
Prefetch est une optimisation de performance Windows qui enregistre quels fichiers et repertoires un executable touche pendant ses dix premieres secondes d'execution. Le fichier .pf resultant (nomme EXECUTABLE-HASH.pf) est stocke dans C:\Windows\Prefetch et contient le chemin d'origine, le nombre d'executions, les huit derniers horodatages (Windows 8+) et la liste des fichiers et volumes referencies. Les analystes forensiques s'en servent pour prouver l'execution d'un programme, retrouver le nom de binaires supprimes, construire des frises chronologiques et reperer des binaires lances depuis temp ou AppData. Prefetch est desactive par defaut sur Windows Server et dans certaines configurations SSD, donc son absence est en soi une information. PECmd est l'analyseur de reference.
● Exemples
- 01
Prouver l'execution d'un ransomware supprime en analysant C:\Windows\Prefetch\RYUK.EXE-XXXXXXXX.pf.
- 02
Detecter un abus de LOLBins lorsque wmic.exe ou rundll32.exe affichent un nombre d'executions anormal et referencent des chemins non standards.
● Questions fréquentes
Qu'est-ce que Fichiers Prefetch ?
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Fichiers Prefetch ?
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.
Comment fonctionne Fichiers Prefetch ?
Prefetch est une optimisation de performance Windows qui enregistre quels fichiers et repertoires un executable touche pendant ses dix premieres secondes d'execution. Le fichier .pf resultant (nomme EXECUTABLE-HASH.pf) est stocke dans C:\Windows\Prefetch et contient le chemin d'origine, le nombre d'executions, les huit derniers horodatages (Windows 8+) et la liste des fichiers et volumes referencies. Les analystes forensiques s'en servent pour prouver l'execution d'un programme, retrouver le nom de binaires supprimes, construire des frises chronologiques et reperer des binaires lances depuis temp ou AppData. Prefetch est desactive par defaut sur Windows Server et dans certaines configurations SSD, donc son absence est en soi une information. PECmd est l'analyseur de reference.
Comment se défendre contre Fichiers Prefetch ?
Les défenses contre Fichiers Prefetch combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Fichiers Prefetch ?
Noms alternatifs courants : Fichiers .pf, Prefetch Windows.
● Termes liés
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valeur du registre Windows qui trace des metadonnees d'executables pour les controles de compatibilite ; historiquement utilisee comme preuve d'execution, avec d'importantes nuances d'interpretation.
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.
- forensics-ir№ 568
Jump Lists
Fichiers d'historique par application indexes par AppID Windows, qui memorisent les fichiers et taches recents d'un utilisateur et fournissent une preuve forte d'acces a un fichier via un programme donne.
● Voir aussi
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys