Retour à tous les articles

Comment analyser les fichiers Prefetch Windows

Vous avez récupéré un dossier Prefetch depuis une image de triage. Et maintenant ? Ce guide suit l'ordre qu'un analyste DFIR expérimenté suivrait réellement, avec les questions à se poser à chaque étape.

1. Trier le dossier

Déposez l'intégralité du dossier Prefetch\ sur le parseur de ce site. Le tableau de résultats liste chaque fichier .pf avec son nom d'exécutable, son hash, sa version, son nombre d'exécutions, l'horodatage de la dernière exécution, le nombre de volumes et le nombre de fichiers référencés.

Premier balayage — répondez à ces questions sans cliquer sur une seule ligne :

  • Combien de fichiers au total ? Les postes Windows 10/11 en bonne santé en ont des centaines. Une poignée ou aucun suggère que prefetch a été désactivé, effacé, ou qu'il s'agit d'un serveur.
  • Quelle est la distribution des versions ? Du tout v30/v31 est normal sur un endpoint Win10/11. Des entrées v17 isolées sur un hôte moderne méritent une enquête — elles peuvent indiquer un fichier prefetch copié depuis un autre système.
  • Y a-t-il des exécutables inhabituels ? Triez le tableau par nom d'exécutable et survolez les binaires qui ne devraient pas être sur la machine : loaders PowerShell encodés, noms d'.exe packés, tout ce qui se trouve dans des chemins accessibles en écriture par l'utilisateur, tout ce qui présente un nombre d'exécutions élevé que vous ne reconnaissez pas.

2. Creuser les entrées suspectes

Cliquez sur n'importe quelle ligne pour déployer le panneau de détail. Pour chaque candidat identifié à l'étape 1, posez-vous :

  • Quand a-t-il été exécuté ? La liste des dernières exécutions (jusqu'à 8 entrées sur Win8.1+) vous donne une chronologie. Corrélez-la avec la fenêtre de compromission de votre incident.
  • D'où a-t-il été exécuté ? Les informations de volume indiquent le chemin du périphérique et le numéro de série NTFS. Un numéro de série qui ne correspond pas au volume principal du système suggère que le binaire a été lancé depuis un média amovible ou une image montée.
  • À quoi a-t-il touché ? La liste des « fichiers référencés » regroupe chaque DLL, fichier de configuration et ressource chargés par le binaire lors de sa première exécution observée. Les chemins inhabituels — références à \Users\...\AppData\, à des partages réseau, à des DLL système renommées — sont autant de pistes.

3. Croiser avec d'autres artefacts

Prefetch seul vous dit quand quelque chose s'est exécuté. Il ne vous dit pas ce qu'était le binaire, qui l'a lancé, ni s'il est malveillant. Apportez en complément :

  • Amcache (Amcache.hve) — inventaire complet avec hashes SHA-1. Si une entrée prefetch existe mais que l'enregistrement Amcache est absent, c'est inhabituel. Utilisez le parseur Amcache pour un outil client équivalent.
  • ShimCache / AppCompatCache — corrobore le chemin. Si Prefetch dit que le binaire s'est exécuté depuis C:\Temp\ et que ShimCache dit que ce même chemin a été modifié pour la dernière fois cinq minutes plus tôt, l'histoire tient mieux.
  • Journal d'événements Sécurité (4688 — création de processus) — si l'audit de processus était actif, vous obtenez le processus parent et la ligne de commande, ce que Prefetch seul ne fournit pas.

4. Surveiller les manipulations

Un fichier .pf n'est qu'un fichier. Les attaquants peuvent le supprimer, le remplacer par un faux, ou empêcher sa création. Trois vérifications rapides :

  • Recalculez le hash à partir du chemin d'exécutable que vous voyez dans le prefetch. Une non-correspondance est une preuve forte d'un fichier déposé.
  • Un nombre d'exécutions de 1 avec un horodatage récent sur un système en route depuis des semaines est suspect — le fichier a peut-être été supprimé puis recréé.
  • Des horodatages dans le futur ou correspondant à des secondes entières exactes sur plusieurs fichiers suggèrent une manipulation par lot.

5. Exporter et documenter

Cliquez sur « Download JSON » dans le parseur pour capturer la sortie structurée complète. Ce JSON constitue votre artefact d'audit : horodatage stable, facile à grepper, facile à comparer à une autre collecte. Posez-le à côté de vos notes de dossier.

Pour aller plus loin sur la signification de chaque champ prefetch, voyez Comprendre Windows Prefetch et Changements Prefetch v30 et v31.