Informations stockées dans des fichiers de prélecture
Chaque fichier est un véritable trésor de métadonnées précieuses sur le plan médico-légal concernant l’instance d’exécution qu’il représente :.pf
Nom exécutable : Le nom de fichier du programme qui a été exécuté.
Nombre de points : Le nombre total de fois où l’application a été exécutée à partir de ce chemin spécifique.
Dernier horodatage : La date et l’heure précises à laquelle la demande a été exécutée depuis ce chemin. C’est un indicateur principal du temps d’exécution. (N’oubliez pas : l’horodatage de modification à date du fichier lui-même reflète ce dernier temps d’exécution).
.pfHorodatages des précédentes diffusions : Jusqu’à 8 des dernières périodes d’exécution précédentes sont stockées, offrant un historique des lancements récents à partir de ce chemin.
Informations sur le volume : Détails sur le volume du disque où l’exécutable se trouvait lors de sa dernière exécution, y compris le nom du volume (par exemple, ), le numéro de série du volume et la date de création du volume.
C:Indicateurs du fichier : Enregistre la taille du fichier exécutable original.
Annuaires cités : Une liste des annuaires auxquels l’application a accédé lors de sa phase initiale de démarrage (généralement dans les ~10 premières secondes).
Fichiers référencés (index/ressources chargées) : Une liste de fichiers spécifiques (y compris les DLL, fichiers de configuration, fichiers de données, etc.) que l’application a chargés ou consultés lors de cette phase de démarrage initiale. C’est crucial pour lier des processus comme à des fichiers spécifiques ou à des fichiers spécifiques.
java.exe.jarrundll32.exe.dllHachage du chemin exécutable : Le hachage de 8 caractères identifiant le chemin d’exécution.
Mis à jour