Nettoyage de prélecture

  • Description: Cela implique la suppression des fichiers de prélecture () de leur emplacement de stockage (). Comme les fichiers de prélecture contiennent un historique d’exécution détaillé (horodatages, nombre de runes, ressources chargées), les supprimer élimine cette source directe de preuve..pf C:\Windows\Prefetch

  • Mécanisme:

    • Suppression manuelle : L’utilisateur navigue vers (nécessite des droits administrateur) et supprime simplement certains fichiers spécifiques (par exemple, ) ou sélectionne et supprime l’intégralité du contenu du dossier.C:\Windows\Prefetch .pf cheat.exe-HASH.pf

    • Scripting/Outils : Les utilitaires de nettoyage (comme CCleaner, BleachBit) ou des scripts personnalisés (, ) peuvent être configurés ou exécutés pour vider automatiquement le dossier de prélecture..bat .ps1

  • Pourquoi les tricheurs l’utilisent : Effacer l’historique d’exécution de cheats ou d’outils spécifiques, empêchant le ScreenSharer de trouver une preuve directe des lancements récents via des outils d’analyse de prélecture comme WinPrefetchView.

  • Détection:

    • Revue USN () : C’est la méthode principale de détection. La suppression de tout fichier, y compris les fichiers, est soigneusement enregistrée dans le Journal avec un code de raison, associé au nom de fichier spécifique (par exemple, ) et au chemin. Trouver des entrées récentes pour les fichiers, en particulier les suppressions multiples survenant dans le temps juste avant ou pendant le partage d’écran, est une preuve solide d’un effacement de prélecture.$UsnJrnl.pf FILE_DELETE | CLOSE CHEAT.EXE-1234ABCD.pf C:\Windows\Prefetch FILE_DELETE .pf

    • Dossier vide/incomplet : Inspecter visuellement le dossier et le trouver complètement vide, ou suspectement dépourvu d’entrées pour les processus système couramment exécutés (), les applications récemment utilisées (), ou le jeu lui-même (), est un indicateur important de nettoyage, à condition que le service SysMain soit en cours d’exécution et que la prélecture soit activée dans le registre.C:\Windows\Prefetch explorer.exe AnyDesk.exe javaw.exe

    • Corroboration: Si d’autres artefacts (par exemple, BAM, chaînes mémoire) montrent une exécution récente d’un programme, mais que son fichier correspondant manque ou possède un ancien horodatage, un effacement ou une altération (comme l’attribut Lecture seule) doit être suspecté et examiné via le Journal..pf

PrécédentTechniques de défrichage des artefactsSuivantNettoyage du registre (BAM, RecentDocs, etc.)

Mis à jour