Prefetch Parser

Analysez les fichiers Windows Prefetch (.pf) entièrement dans votre navigateur. Déposez tout le dossier Prefetch — rien n'est envoyé, l'analyse s'exécute localement en WebAssembly.

Déposez ici des fichiers .pf ou tout un dossier Prefetch

100 % côté client. Les fichiers sont lus en mémoire et ne sont jamais envoyés à un serveur.

Aucun résultat — déposez un fichier .pf ou un dossier Prefetch pour commencer.

Qu'est-ce que Windows Prefetch ?

Windows Prefetch (.pf) est un cache par exécutable que Windows écrit dans C:\Windows\Prefetch\ à chaque lancement d'un programme. Chaque fichier enregistre ce que le programme a touché lors de sa première exécution — les bibliothèques chargées, le volume utilisé et le nombre de fois où il a été lancé. En analyse forensique, le prefetch est l'une des sources de preuves d'exécution les plus fiables : un programme n'a pas besoin d'être installé ni encore présent sur le disque pour laisser une entrée .pf derrière lui.

Ce que chaque fichier .pf enregistre

  • Nom de l'exécutable et hash prefetch (dérivé du chemin de lancement)
  • Version SCCA : 17 (XP/Vista/7), 23 (Win8), 26 (Win8.1), 30 (Win10), 31 (Win11)
  • Nombre d'exécutions — combien de fois le programme a été lancé
  • Jusqu'à 8 horodatages d'exécution en UTC (Win8.1+)
  • Informations de volume : chemin du périphérique, numéro de série NTFS, date de création
  • Chaque DLL, fichier de configuration et ressource chargés par le programme durant la capture prefetch

Comment analyser un dossier Prefetch

Déposez un fichier .pf ou tout le dossier C:\Windows\Prefetch\ sur cette page. Le parseur s'exécute entièrement dans votre navigateur :

  1. Les fichiers sont lus en mémoire localement — rien n'est envoyé.
  2. Un décodeur prefetch Rust compilé en WebAssembly décompresse et analyse chaque fichier dans un Web Worker.
  3. Les résultats s'affichent dans un tableau triable et filtrable. Cliquez sur une ligne pour voir toutes les exécutions, volumes et fichiers référencés.
  4. Exportez tout en JSON pour la suite de votre chaîne d'outils.

Questions fréquentes

Où Windows stocke-t-il les fichiers prefetch ?

C:\Windows\Prefetch\ — généralement plusieurs centaines de fichiers .pf sur un poste actif. Le dossier est restreint mais lisible par les administrateurs. Prefetch est activé par défaut sur les éditions postes de travail de Windows ; il est souvent désactivé sur Windows Server.

Comment le hash prefetch de 8 caractères est-il calculé ?

Le hash en fin de nom (NOM-XXXXXXXX.pf) est dérivé du chemin complet de l'exécutable encodé en UTF-16. Deux copies du même binaire lancées depuis des répertoires différents produisent deux fichiers .pf distincts. L'algorithme a changé entre Windows XP/Vista et Windows 7+ (hash SuperFetch).

Pourquoi les fichiers prefetch Windows 8+ sont-ils compressés ?

À partir de Windows 8, le système compresse les fichiers prefetch avec l'algorithme Xpress Huffman et les préfixe par la signature MAM\u00104. Ce parseur les décompresse de manière transparente — aucun pré-traitement n'est nécessaire avant de déposer le dossier.

Les fichiers prefetch sont-ils une preuve fiable d'exécution ?

Oui — Windows n'écrit un fichier .pf qu'après l'exécution effective de l'exécutable. Cependant, le nombre d'exécutions et les horodatages peuvent être altérés (par exemple en supprimant des fichiers prefetch), et une entrée absente ne prouve pas qu'un programme n'a jamais été lancé si les .pf ont été effacés après coup. À recouper avec Amcache, ShimCache et les journaux d'événements.

Quelque chose est-il envoyé à un serveur ?

Non. Le parseur compile un décodeur prefetch pur Rust (frnsc-prefetch) en WebAssembly et l'exécute dans un Web Worker à l'intérieur de votre navigateur. Les octets ne quittent jamais votre machine. Pas de backend, pas de télémétrie sur le contenu, pas d'upload.

Quelles versions de Windows sont prises en charge ?

Toutes les versions SCCA, de Windows XP à Windows 11 : v17 (XP/Vista/7, non compressée), v23 (Win8), v26 (Win8.1), v30 (Win10) et v31 (Win11). Les fichiers compressés comme non compressés sont détectés automatiquement.