Blog

• Comparatif des outils de parsing Prefetch Windows — PECmd, WinPrefetchView et parseurs dans le navigateur

  PECmd, WinPrefetchView, libscca et les parseurs en ligne — ce dans quoi chacun excelle, ce qu'il laisse de côté, et quand utiliser lequel.

  2026-05-28

• Pourquoi Windows Server n'a pas de fichiers prefetch — PrefetchParameters et SysMain expliqués

  Prefetch est désactivé par défaut sur Windows Server, contrôlé par le registre et lié au service SysMain. Voici ce qui le gouverne et comment vérifier son état sur un système en fonctionnement.

  2026-05-27

• Détecter les manipulations de Prefetch Windows et l'anti-forensique

  Les attaquants suppriment, déposent et falsifient des fichiers .pf pour effacer les preuves d'exécution. Voici comment repérer les signes les plus courants et ce que chacun révèle.

  2026-05-26

• Comment analyser les fichiers Prefetch Windows — un guide forensique pas à pas

  Un guide pratique étape par étape pour lire les fichiers .pf à la recherche de preuves d'exécution — ce qu'il faut chercher, ce qu'il faut ignorer, et comment corroborer les résultats.

  2026-05-25

• Prefetch, Amcache ou ShimCache — choisir le bon artefact d'exécution

  Trois artefacts Windows enregistrent l'exécution des programmes. Ils se recoupent, mais chacun capture quelque chose que les deux autres laissent passer. Voici quand se tourner vers lequel.

  2026-05-24

• Ce qui a changé dans Windows Prefetch v30 et v31 (Windows 10 et 11)

  Le champ de version SCCA est le chiffre le plus utile dans un fichier Prefetch. Voici ce que signifie chaque version et ce qu'il faut surveiller lors du parsing de v30 (Win10) et v31 (Win11).

  2026-05-23

• Au cœur de la compression MAM — comment Windows 8+ encapsule les fichiers Prefetch

  Les fichiers .pf modernes débutent par une signature MAM suivie d'une charge utile compressée en Xpress Huffman. Voici comment fonctionne ce framing, pourquoi il a été introduit et ce qu'un parseur doit faire pour le lire.

  2026-05-22

• Comment est calculé le hash Windows Prefetch

  Le suffixe de 8 caractères présent dans chaque nom de fichier .pf est un hash dérivé du chemin, et l'algorithme a changé trois fois. Voici ce qu'il calcule et pourquoi cela compte en investigation numérique.

  2026-05-21

• Comprendre les fichiers Prefetch Windows en analyse forensique

  Ce que contiennent les fichiers .pf, pourquoi ils sont précieux, et comment ce parseur les lit entièrement dans votre navigateur.

  2026-05-20