Où Windows Prefetch est-il stocké ?

C:\Windows\Prefetch\, avec un fichier .pf par chemin de binaire unique. Les noms de fichiers sont de la forme NOTEPAD.EXE-1A2B3C4D.pf, où le suffixe est un hash de chemin spécifique à Windows (pas un hash de contenu).

Prefetch prouve-t-il qu'un binaire s'est exécuté ?

Oui — définitivement. L'existence d'un fichier .pf est une preuve d'exécution. Amcache, en revanche, enregistre la présence, pas l'exécution.

Combien d'horodatages d'exécution chaque .pf contient-il ?

Jusqu'à 8 sur Windows 7/8/10, et 10 sur Windows 11. Les exécutions plus anciennes sont écrasées au fur et à mesure que de nouvelles se produisent.

Puis-je obtenir un hash SHA-1 depuis Prefetch ?

Non. Le hash dans le nom de fichier .pf est un hash de chemin Windows, pas un hash de contenu. Pour un SHA-1 de contenu, parsez Amcache ou hachez directement le binaire.

Prefetch peut-il être désactivé ?

Oui — via la valeur de registre HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnablePrefetcher. Il est activé par défaut sur les builds desktop Windows et souvent désactivé sur Windows Server.

Qu'est-ce que Windows Prefetch ? (glossaire)

Windows Prefetch est un répertoire de fichiers .pf à C:\Windows\Prefetch\ maintenu par le sous-système Prefetcher. Chaque fichier .pf est créé la première fois qu'un binaire s'exécute et mis à jour lors des exécutions ultérieures. Le fichier enregistre jusqu'à 8 horodatages d'exécution (10 sur Windows 11), un compteur d'exécutions, et la liste des fichiers que le binaire a chargés dans ses 10 premières secondes d'exécution.

C'est l'artefact Windows le plus fort pour prouver l'exécution. Un .pf existe si et seulement si le binaire s'est réellement exécuté (en supposant que Prefetch soit activé, ce qui est le cas par défaut sur les desktops Windows).

Ce que chaque `.pf` contient#

Champ	Valeur
Nom de l'exécutable	À partir du nom de fichier, par ex. `NOTEPAD.EXE`.
Hash de chemin	Suffixe du nom de fichier — pas un hash de contenu.
Compteur d'exécutions	Combien de fois le binaire s'est exécuté.
Heure(s) de dernière exécution	Jusqu'à 8 horodatages (10 sur Win 11).
Fichiers chargés	DLL et fichiers de données référencés dans les ~10 premières s.
Volumes référencés	Numéros de série des volumes sources.

Prefetch vs Amcache#

	Prefetch	Amcache
Prouve l'exécution ?	Oui	Non — présence uniquement
Enregistre le hash ?	Non (hash de chemin uniquement)	Oui (SHA-1)
Enregistre les heures d'exécution ?	Oui, jusqu'à 8/10	Non
Enregistre éditeur / version ?	Non	Oui
Survit à la suppression du binaire ?	Oui (suppression du fichier uniquement)	Oui
Activé par défaut ?	Oui (desktops)	Oui
Par défaut courant sur Server ?	Souvent désactivé	Activé

Pour une couverture complète, voir Amcache vs Prefetch.

Quand Prefetch gagne#

« Ce binaire s'est-il réellement exécuté ? » — l'existence du .pf est définitive.
« Quand s'est-il exécuté ? » — jusqu'à 8/10 horodatages par binaire.
« Qu'a-t-il chargé ? » — la liste des fichiers chargés fait souvent remonter les DLL injectées par l'attaquant.

Quand Amcache gagne#

« Quel est le SHA-1 ? » — Prefetch n'a pas de hash de contenu.
« Ce binaire était-il présent mais jamais exécuté ? » — Amcache l'attrape ; Prefetch n'existe pas pour les binaires jamais exécutés.
« Preuves de pilote / périphérique » — Amcache a des schémas dédiés ; Prefetch n'enregistre que l'exécution PE en espace utilisateur.

Outils de parsing#

PECmd (Zimmerman) — produit un CSV structuré à partir d'un répertoire Prefetch. L'outil standard pour parser Windows Prefetch.
Windows-Prefetch-Parser — alternative Python plus ancienne.

Pour le tableau plus large des preuves d'exécution, voir Amcache vs ShimCache.

Termes apparentés#

Amcache.hve — l'artefact de preuve de présence.
ShimCache — le cache loader côté noyau.
SRUM — l'artefact d'utilisation de ressources sur longue fenêtre.