Outils d’analyse

Visualiser directement le dossier ne montre que les noms de fichiers et les horodatages basiques. Des outils spécialisés sont nécessaires pour analyser les fichiers binaires et extraire les métadonnées riches contenues :C:\Windows\Prefetch.pf

  • WinPrefetchView (Nirsoft) :

    • Fonctionnalité: Un outil GUI gratuit largement adopté, spécifiquement conçu pour analyser des fichiers et présenter les données extraites dans une table conviviale et triable..pf

    • Interface: La fenêtre principale liste généralement toutes les entrées de prélecture trouvées. La sélection d’une entrée remplit un volet inférieur avec des informations détaillées, incluant tous les temps d’exécution, le nombre de runes, les détails des volumes et la liste critique des fichiers et répertoires référencés lors de l’exécution (souvent appelés « Index » ou ressources chargées dans l’interface de l’outil).

    • Cas d’utilisation du partage d’écran :

      • Confirmation de l’exécution et du calendrier : Vérifier directement si et exactement quand un fichier spécifique a été exécuté en examinant les horodatages de son fichier (Dernier temps d’exécution / Temps de modification du fichier)..exe .pf

      • Détection des exécutables renommés : Repérer facilement les fichiers dont le nom de l’exécutable contient une extension non standard (par exemple, ), indiquant une tentative probable de dissimulation d’un fichier exécutable..pf MYCHEAT.TMP-HASH.pf

      • Analyse des ressources chargées : Examiner la liste des fichiers référencés dans le volet inférieur pour une entrée spécifique (par exemple, vérifier les chemins de triche chargés ou injecter)..pf java.exe .pf .jar rundll32.exe .pf .dll

      • Indice sur le videment potentiel du procédé : Observer un champ « Chemin exécutable » vide dans WinPrefetchView pour une entrée spécifique peut parfois être corrélé à un creux de processus, bien que cela nécessite d’autres preuves corroborantes..pf

  • PECmd (Eric Zimmerman) :

    • Fonctionnalité: Un outil d’interface en ligne de commande (CLI) qui fait partie de la suite plus large d’outils Eric Zimmerman. Il offre des capacités d’analyse pré-lecture plus complètes et granulaires que de nombreux outils GUI.

    • Usage: Exécuté via CMD ou PowerShell (en tant qu’administrateur). Une commande typique est , qui analyse tous les fichiers du répertoire source spécifié () et exporte les résultats détaillés dans des fichiers CSV () dans le chemin de sortie désigné ().PECmd.exe -d "C:\Windows\Prefetch" --csv C:\OutputPath\ .pf -d --csv C:\OutputPath\

    • Sortie et utilisation : Génère des fichiers CSV détaillés qui peuvent être chargés dans des outils comme l’Explorateur de Timeline ou des logiciels de tableur pour un filtrage avancé, le tri, la corrélation avec d’autres artefacts et la reconstruction de timelines. Particulièrement utile pour gérer des fichiers corrompus sur lesquels les outils GUI pourraient échouer, ou pour analyser un grand nombre d’entrées par programmation..pf

PrécédentInformations stockées dans des fichiers de prélectureSuivantDépannage et détection d’évasion

Mis à jour