Retour à tous les articles

Comprendre Windows Prefetch

Les fichiers Windows Prefetch (.pf) se trouvent dans C:\Windows\Prefetch\ et enregistrent des métadonnées sur chaque exécutable lancé par le système. Ce sont l'une des sources les plus fiables de preuves d'exécution en analyse forensique : un programme n'a pas besoin d'être installé, persistant, ni même encore présent sur le disque pour laisser une entrée prefetch derrière lui.

Chaque .pf est nommé <EXÉCUTABLE>-<HASH>.pf, où le hash sur huit caractères est dérivé du chemin complet de l'exécutable. Deux copies du même binaire lancées depuis des dossiers différents produisent deux fichiers prefetch distincts.

Ce que le parseur extrait

Pour chaque .pf que vous déposez, l'outil extrait :

  • Nom et chemin de l'exécutable tels qu'enregistrés dans l'en-tête
  • Version SCCA (17 = XP/Vista/7, 23 = Win8, 26 = Win8.1, 30 = Win10, 31 = Win11)
  • Nombre d'exécutions — combien de fois le programme a été lancé
  • Dernières exécutions — les horodatages UTC les plus récents (Win8.1+ en conserve 8)
  • Informations de volume — chemin du périphérique, numéro de série et date de création de chaque volume utilisé
  • Fichiers référencés — chaque DLL, fichier de configuration et ressource chargés par l'exécutable pendant la capture

Pourquoi WebAssembly côté client

Les fichiers .pf sont des éléments de preuve. Les envoyer à un service tiers pour les analyser brise la chaîne de garde et expose des artefacts potentiellement sensibles. Cet outil compile un parseur Prefetch pur Rust (frnsc-prefetch) en WebAssembly et l'exécute dans un Web Worker à l'intérieur de votre navigateur. Les octets ne quittent jamais votre machine.

Compression Win 8+

À partir de Windows 8, les fichiers prefetch sont stockés compressés avec l'algorithme Xpress Huffman et préfixés par la signature MAM. Le parseur les détecte et les décompresse de manière transparente — aucun pré-traitement n'est nécessaire avant de déposer le dossier.

Essayez

Déposez le contenu d'un dossier Prefetch sur la page d'accueil et vous obtenez un tableau triable et filtrable de chaque exécution de programme, avec un détail complet des volumes et des fichiers chargés. Cliquez sur Télécharger le JSON pour exporter les données analysées vers la chaîne d'outils de votre choix.