Prélecture

But et fonction

La prélecture est une fonctionnalité d’amélioration des performances intégrée à Windows, conçue pour réduire les temps de démarrage des applications. Le système d’exploitation, via le service SysMain (anciennement connu sous le nom de Superfetch), surveille les fichiers et données auxquels une application accède lors de sa phase de lancement initiale (généralement les 10 premières secondes). Il enregistre ensuite ces informations dans un fichier de prélecture correspondant (). Lors des lancements ultérieurs, Windows utilise ces données pour charger de manière proactive les ressources nécessaires en mémoire, visant un démarrage plus rapide et plus efficace..pf

Du point de vue de la Digital Forensics and Incident Response (DFIR), cette fonctionnalité de performance crée l’un des artefacts les plus fiables et précieux pour suivre l’exécution des programmes. La création et la modification des fichiers servent de journal direct des lancements d’applications sur le système..pf

Localisation et convention de dénomination

Les fichiers de prélecture sont stockés dans un dossier système dédié, qui nécessite généralement des privilèges administrateur pour accéder à :

  • Emplacement: C:\Windows\Prefetch

Chaque fichier correspond à un exécutable spécifique depuis un emplacement précis et suit un schéma de nommage cohérent :.pf

EXECUTABLENAME.EXE-HASH.pf

  • EXECUTABLENAME.EXE : Le nom du fichier exécutable lancé (par exemple, , ).NOTEPAD.EXE VAPE.EXE

  • HACHIS: Un hachage hexadécimal de 8 caractères. De manière cruciale, ce hachage est calculé en fonction du chemin complet à partir duquel l’exécutable a été exécuté, et non du contenu du fichier. Cela signifie que faire tourner le même exécutable depuis deux emplacements différents (par exemple, vs. ) générera deux fichiers distincts avec des hachages différents.C:\Users\Admin\Desktop\cheat.exe C:\Users\Admin\Downloads\cheat.exe .pf

Structure interne et métadonnées stockées

Chaque fichier est un fichier binaire contenant une multitude de métadonnées pouvant être analysées avec des outils spécialisés. Ces métadonnées fournissent un enregistrement détaillé de l’historique d’exécution d’une application :.pf

  • Nom exécutable : Le nom de fichier du programme qui a été lancé.

  • Nombre de points : Le nombre total de fois où l’application a été exécutée à partir de ce chemin spécifique.

  • Timestamps:

    • Dernière heure d’exécution : Un horodatage de haute précision indiquant la dernière fois que l’application a été exécutée à partir de ce chemin. D’un point de vue médico-légal, l’horodatage Date Modified du fichier lui-même reflète directement cette valeur..pf

    • Temps d’exécution précédents : Jusqu’à 8 des derniers horodatages d’exécution précédents sont stockés dans le fichier, offrant une vue historique à court terme des lancements à partir de ce chemin spécifique.

  • Informations sur le volume : Détails sur le volume du disque où l’exécutable se trouvait lors de sa dernière exécution, y compris le chemin du volume (par exemple, ), la date de création et le numéro de série. C’est essentiel pour suivre les exécutions à partir de supports amovibles comme les clés USB.\Device\HarddiskVolume1

  • Fichiers et annuaires référencés : Une liste des fichiers spécifiques (y compris les DLL, fichiers de configuration, etc.) et des répertoires auxquels l’application a accédé lors de son démarrage initial. C’est une information critique sur le plan médico-légal, car elle peut lier un processus hôte générique (comme ou ) à une charge utile malveillante spécifique (comme un cheat ou un injecté ).java.exe rundll32.exe .jar .dll

Dépendances et contrôle du système

Le mécanisme de prélecture n’est pas autonome ; Il repose sur et est contrôlé par des composants spécifiques du système :

  • Service SysMain : L’ensemble des fonctionnalités de prélecture est géré par le service SysMain. Si ce service est arrêté ou désactivé, Windows cessera de créer ou de mettre à jour des fichiers. Son statut peut être vérifié via ..pf sc query sysmain

  • Contrôle du registre : L’état opérationnel du préfetcheur est configuré dans le registre Windows à : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

    La valeur DWORD dans cette clé détermine son comportement :EnablePrefetcher

    • 0:Handicapé

    • 1: Prélecture du lancement d’application activée

    • 2: Prélecture de démarrage activée

    • 3: Prélecture des applications et du démarrage activée (par défaut)

Une valeur non par défaut, en particulier , est un indicateur fort d’une altération délibérée.0

Valeur médico-légale

La valeur médico-légale des fichiers de prélecture est immense. Ils fournissent une chronologie fiable et de haute précision du moment où les applications ont été exécutées sur un système. Parce qu’ils enregistrent le nom complet de l’exécutable (y compris l’extension), les fichiers référencés et sont liés à un chemin d’exécution spécifique, ils constituent un artefact fondamental pour :

  • Confirmation de l’exécution de logiciels malveillants.

  • Établir une chronologie des actions d’un attaquant.

  • Les programmes d’identification s’exécutent depuis des emplacements inhabituels ou des supports amovibles.

  • Découvrir tente de dissimuler les exécutables en modifiant leurs extensions de fichiers.

Points de réflexion (Concours SS)

Pour un ScreenSharer, le prélecture est une source primaire de preuves à haute confiance.

  • Preuve de haute précision : Le « Dernier Temps d’Exécution » est suffisamment précis pour prouver l’exécution « en instance », en lien direct avec la session de jeu.

  • Détection de l’évasion : La convention de nommage des fichiers rend les techniques d’évitement évidentes. Trouver un type de fichier est un indicateur clair d’une extension usurpée.MyCheat.tmp-A1B2C3D4.pf

  • Liaison des processus hôtes : La liste « Fichiers référencés » est la clé pour relier les points. Cela permet à un utilisateur de SSer de prouver de manière définitive qu’un processus spécifique a chargé un fichier de triche, ou qu’il a été utilisé pour charger un fichier de triche spécifique.javaw.exe .jar rundll32.exe .dll

  • Preuves de falsification : Un dossier vide (lorsque le service fonctionne et que la clé de registre est activée) est une forte preuve d’effacement. Un fichier avec l’attribut Lecture seule est une tentative directe de « figer » l’artefact et de masquer une activité récente. Trouver le service SysMain arrêté ou la valeur du registre réglée sur est en soi un acte de falsification hautement suspect.Prefetch.pf EnablePrefetcher 0

PrécédentExécution du programmeSuivantBAM & DAM

Mis à jour