Blog
- Outils de parsing de Windows Prefetch comparés — PECmd, WinPrefetchView et parsers en navigateur
PECmd, WinPrefetchView, libscca et parsers en ligne — à quoi chacun excelle, ce qu'il rate, et quand recourir à lequel.
2026-05-28
- Anti-forensique Prefetch : ce que les attaquants peuvent cacher, ce qu'ils ne peuvent pas
EnablePrefetcher=0, suppression des fichiers .pf, le truc du renommer-avant-exécution. Le point de vue d'un praticien sur les attaques contre Prefetch qui fonctionnent et celles qui laissent une trace exploitable.
2026-05-27
- Prefetch comme preuve : ce que les fichiers .pf prouvent réellement
Windows Prefetch est l'artefact unique le plus fiable pour prouver une exécution en DFIR, mais à condition de comprendre ce qu'il ne dit pas. Le point de vue d'un praticien sur les fichiers .pf.
2026-05-27
- Pourquoi Windows Server n'a pas de fichiers prefetch — PrefetchParameters et SysMain expliqués
Prefetch est désactivé par défaut sur Windows Server, contrôlé par le registre et lié au service SysMain. Voici ce qui le gouverne et comment vérifier l'état sur un système en marche.
2026-05-27
- Le format de fichier Windows Prefetch à travers les versions
SCCA, compression MAM, sections A à D, et le champ de version. Un parcours pratique de l'évolution des fichiers .pf depuis XP jusqu'à Win11, et des parsers qui suivent.
2026-05-27
- La liste de chargement de fichiers : ce que chaque .pf peut révéler sur ce qu'a fait un binaire
La liste de chargement Prefetch est la partie que la plupart des analystes survolent. C'est aussi là que se cachent à découvert les DLL hijacks, les configs de malware et les ouvertures de documents. Un guide pratique.
2026-05-27
- Le programme a-t-il vraiment tourné ? Prefetch et l'exécution de processus
Prefetch est l'artefact unique le plus fort comme preuve d'exécution en DFIR Windows. Voici où l'affirmation tient, où elle se brise, et comment la solidifier avec EVTX 4688 et Sysmon.
2026-05-27
- Enquêter sur un ransomware avec Prefetch : un parcours
Un cas de ransomware fictif mais réaliste, reconstitué à partir de Prefetch. Les huit horodatages, la liste de chargement du chiffreur, les outils de mouvement latéral. Comment les fichiers .pf racontent l'histoire.
2026-05-27
- SuperFetch, SysMain et la confusion Prefetch sous Win10/11
SuperFetch est devenu SysMain à partir de Win10 1709. Prefetch est partiellement désactivé sur SSD. Voici ce que font vraiment les boutons du registre, et ce qu'il faut vérifier avant de faire confiance à un .pf.
2026-05-27
- Détecter la manipulation et l'anti-forensique de Windows Prefetch
Les attaquants suppriment, plantent et falsifient des fichiers .pf pour masquer les preuves d'exécution. Voici comment repérer les signes courants et ce que chacun révèle.
2026-05-26
- Comment analyser les fichiers Prefetch Windows — un parcours forensique
Un guide pratique pas à pas pour lire les fichiers .pf à la recherche de preuves d'exécution — quoi regarder, quoi ignorer, et comment corroborer ses conclusions.
2026-05-25
- Prefetch vs Amcache vs ShimCache — choisir le bon artefact d'exécution
Trois artefacts Windows enregistrent l'exécution de programmes. Ils se recoupent, mais chacun capture quelque chose que les deux autres ratent. Voici quand recourir à lequel.
2026-05-24
- Ce qui a changé dans Windows Prefetch v30 et v31 (Windows 10 et 11)
Le champ de version SCCA est le nombre unique le plus utile dans un fichier prefetch. Voici ce que signifie chaque version et ce qu'il faut surveiller en parsant v30 (Win10) et v31 (Win11).
2026-05-23
- Au cœur de la compression MAM — comment Windows 8+ empaquette les fichiers prefetch
Les fichiers .pf modernes commencent par une signature MAM et un payload compressé en Xpress Huffman. Voici comment fonctionne le framing, pourquoi il a été introduit, et ce qu'un parser doit faire pour le lire.
2026-05-22
- Comment est calculé le hash Windows Prefetch
Le suffixe de 8 caractères dans chaque nom de fichier .pf est un hash dérivé du chemin, et l'algorithme a changé trois fois. Voici ce qu'il calcule et pourquoi cela compte en analyse forensique.
2026-05-21
- Comprendre les fichiers Prefetch Windows en analyse forensique
Ce que les fichiers .pf enregistrent, pourquoi ils comptent, et comment ce parser les lit intégralement dans votre navigateur.
2026-05-20