RecentFileCache
But et fonction
Le RecentFileCache.bcf est un fichier binaire utilisé par le système d’exploitation Windows, principalement dans le cadre de compatibilité des applications. À l’instar d’Amcache/Syscache, son objectif est de mettre en cache les informations sur les applications récemment exécutées afin d’aider les vérifications de compatibilité et les performances du système. Il fonctionne comme un journal simple et à court terme des exécutions de programmes.
Du point de vue du DFIR, cela constitue une autre source précieuse, bien que moins détaillée, de preuves d’exécution. Il est particulièrement utile car il peut parfois contenir des traces de programmes exécutés qui ne se trouvent pas dans d’autres artefacts plus couramment analysés, ou il peut fournir des données temporelles légèrement différentes, aidant à corroborer ou à étendre une chronologie.RecentFileCache.bcf
Emplacement et structure
Il s’agit d’un seul fichier binaire situé dans le même répertoire que la ruche.RecentFileCache.bcf Amcache.hve
Emplacement:
C:\Windows\AppCompat\Programs\RecentFileCache.bcf
Le fichier a une structure interne simple, contenant généralement un en-tête et une série d’entrées séquentielles. Chaque entrée représente un programme exécuté et stocke un ensemble limité de métadonnées. En raison de son format binaire, il doit être analysé avec des outils spécialisés pour être lisible par l’humain.
Métadonnées stockées
Comparé à Amcache, les métadonnées stockées sont plus concises. Une entrée typique comprend :RecentFileCache.bcf
Chemin du fichier : Le chemin complet de l’exécutable qui a été lancé.
Taille du fichier : La taille du fichier exécutable.
Délai d’exécution : Un horodatage qui reflète généralement le moment de l’exécution. La nature exacte de ce timestamp peut varier selon les versions de Windows et les états du système.
Le cache a une taille limitée et fonctionne selon le principe du premier arrivé, premier sorti (FIFO). Au fur et à mesure que de nouveaux programmes sont exécutés, leurs informations sont ajoutées au cache, et les entrées plus anciennes sont finalement écrasées.
Valeur médico-légale
Bien que moins complet que des artefacts comme Prefetch ou SRUM, il constitue une pièce précieuse du puzzle d’enquête pour plusieurs raisons :RecentFileCache.bcf
Confirmation d’exécution rapide : Il offre un moyen simple et direct de confirmer qu’un exécutable a été exécuté sur le système.
Preuves complémentaires : Sa valeur principale réside dans sa capacité à corroborer les preuves provenant d’autres sources. Trouver le chemin d’un exécutable dans les deux et dans un autre artefact (comme BAM) renforce la certitude de la trouvaille.
RecentFileCache.bcfTraces uniques : Dans certains cas, en raison des subtilités de la journalisation Windows, une exécution peut être enregistrée dans d’autres endroits mais pas à d’autres endroits, surtout si d’autres artefacts ont été effacés ou n’ont pas été mis à jour. Cela en fait une source secondaire cruciale à vérifier.
RecentFileCache.bcfSimplicité: Sa structure simple le rend relativement facile et rapide à analyser, permettant une vérification rapide de l’activité récente du système.
Cependant, sa taille limitée et l’absence de métadonnées détaillées (comme le nombre de runs ou les hachages de fichiers) le rendent moins puissant en tant que source autonome de preuves comparé à ses homologues plus robustes.
Points de réflexion (Concours SS)
Pour un ScreenSharer, c’est un artefact à impact rapide qui peut fournir cette preuve supplémentaire nécessaire pour confirmer un soupçon.RecentFileCache.bcf
Le coup corroborateur : Son rôle principal dans un partage d’écran est de sauvegarder d’autres découvertes. Si vous trouvez un exécutable suspect dans Prélecture, le trouver également listé ajoute une couche supplémentaire de certitude à vos preuves, rendant plus difficile pour le joueur de contester.
RecentFileCache.bcfTrouver ce qui manque : Si vous soupçonnez qu’un joueur a validé son pré-lecture ou BAM, il se peut que vous conserve la trace dont vous avez besoin. C’est un élément clé d’une approche « ne laisser aucune pierre non retournée » pour vérifier la présence de preuves d’exécution.
RecentFileCache.bcfRapidité et efficacité : Lors d’un partage d’écran sensible au temps, analyser ce fichier avec un outil comme celui d’Eric Zimmerman est extrêmement rapide et peut donner un aperçu immédiat des programmes récemment exécutés, aidant à identifier rapidement les cibles pour une enquête plus approfondie.
RecentFileCacheParser
Mis à jour