Un fichier .pf prouve-t-il l'exécution ?

Oui. Le Prefetcher crée un fichier .pf la première fois qu'un binaire s'exécute et le met à jour lors des exécutions ultérieures. La simple existence d'un fichier .pf est une preuve d'exécution (en supposant que Prefetch soit activé, ce qui est le cas par défaut sur les builds desktop Windows).

Une entrée Amcache prouve-t-elle l'exécution ?

Non. Amcache enregistre la présence — que l'appraiser a vu le fichier sur disque pendant une passe d'inventaire. Un binaire peut apparaître dans Amcache sans jamais s'être exécuté (par ex. un outil que l'attaquant a déposé mais jamais exécuté).

Lequel a des hashes — .pf ou Amcache ?

Seulement Amcache. Le hash dans un nom de fichier .pf (par ex. NOTEPAD.EXE-1A2B3C4D.pf) est un hash de chemin spécifique à Windows, pas un SHA-1 de contenu. Amcache stocke un vrai SHA-1 des 31 premiers Mio du fichier dans le champ FileId.

Lequel est horodaté plus précisément — .pf ou Amcache ?

Les fichiers .pf ont des horodatages précis par exécution (jusqu'à 8/10 exécutions par binaire). Le KeyLastWriteTimestamp d'Amcache est l'heure d'écriture de l'appraiser, qui peut être en retard sur l'arrivée réelle du fichier jusqu'à 24 heures.

.pf et Amcache peuvent-ils exister tous les deux pour le même binaire ?

Habituellement oui. Un binaire qui s'est exécuté et a été inventorié aura les deux. Un binaire .pf-only s'est exécuté mais l'appraiser ne l'a pas vu (souvent parce qu'il a été supprimé entre les exécutions). Un binaire Amcache-only est présent mais jamais exécuté.

Quelle est la différence entre un fichier .pf et une entrée Amcache ?

Un fichier .pf est un enregistrement Windows Prefetch à C:\Windows\Prefetch\ qui existe si et seulement si le binaire correspondant s'est réellement exécuté. Il contient jusqu'à 8 horodatages d'exécution (10 sur Windows 11), un compteur d'exécutions et la liste des fichiers que le binaire a chargés dans ses 10 premières secondes. Une entrée Amcache est une sous-clé à l'intérieur d'Amcache.hve enregistrant que le Compatibility Appraiser a inventorié un fichier PE présent sur disque — elle inclut le hash SHA-1, le chemin complet, l'éditeur, la version et la date de link du fichier, mais elle ne prouve PAS que le binaire ait jamais été exécuté. Les fichiers .pf répondent à 'cela s'est-il exécuté ?' ; les entrées Amcache répondent à 'cela était-il présent ?'.

Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?

Un fichier .pf prouve l'exécution. Une entrée Amcache enregistre la présence. Un même binaire peut apparaître dans les deux, dans un seul, ou dans aucun — et quelle combinaison vous observez est en soi une information d'enquête.

Côte à côte#

	Fichier `.pf` (Prefetch)	Entrée Amcache
Où il vit	`C:\Windows\Prefetch\NAME.EXE-1A2B3C4D.pf`	Sous-clé à l'intérieur d'`Amcache.hve`
Créé quand	Première exécution du binaire	Première fois que l'appraiser inventorie le binaire
Maintenu par	Sous-système Prefetcher	Tâche planifiée Compatibility Appraiser
Prouve l'exécution ?	Oui	Non
Prouve la présence ?	Oui (implicite — devait exister pour s'exécuter)	Oui
A un hash SHA-1 ?	Non (hash de chemin uniquement)	Oui (SHA-1 des 31 premiers Mio)
A éditeur / version ?	Non	Oui
Horodatages d'exécution ?	Oui, jusqu'à 8 (10 sur Win 11)	Non
Horodatages d'inventaire ?	Non	Oui (`KeyLastWriteTimestamp`)
Survit à la suppression du binaire ?	Oui (suppression du fichier uniquement)	Oui (persistance registre)
Activé par défaut sur desktops Windows ?	Oui	Oui
Activé par défaut sur Server ?	Souvent désactivé	Activé (cadence plus lente)

Les quatre états#

Pour tout binaire donné sur un hôte, vous observez l'un des quatre états. Chacun porte une lecture différente :

Les deux présents#

Le binaire s'est exécuté, et l'appraiser l'a inventorié. Vous avez une preuve d'exécution (heures d'exécution Prefetch) et une preuve d'identité (hash + métadonnées Amcache). Cas typique pour les logiciels normaux.

Prefetch uniquement#

Le binaire s'est exécuté, mais Amcache ne l'a pas enregistré. Deux raisons probables :

Le binaire a été supprimé avant la passe d'appraiser suivante. Courant pour les stagers / droppers qui s'auto-suppriment après exécution.
Le binaire vit dans un chemin que l'appraiser ne scanne pas.

C'est un signal fort de nettoyage délibéré — le pattern classique de stager Cobalt Strike / Sliver / Metasploit.

Amcache uniquement#

Le binaire est présent mais jamais exécuté (ou exécuté uniquement comme DLL chargée par un autre EXE, ce qui met à jour le .pf de l'autre EXE). Raisons :

Outil déposé en attente de déclencheur.
Chargé uniquement via rundll32.exe / regsvr32.exe / LoadLibrary depuis un autre processus.
Prefetch désactivé sur cet hôte.

Une conclusion « présent mais jamais exécuté » est très différente de « exécuté ». Utile pour détecter les outils déposés mais inutilisés.

Les deux absents#

Le binaire ne s'est jamais exécuté et l'appraiser ne l'a jamais inventorié. Le plus proche de « ceci ne s'est jamais produit sur cet hôte » — mais pas concluant. Les deux artefacts peuvent être effacés, les deux ont des lacunes de couverture, et les binaires transitoires intra-passe d'appraiser peuvent ne laisser aucune trace.

Le workflow combiné#

Parsez Amcache avec AmcacheParser.
Parsez Prefetch avec PECmd.
Chargez les deux CSV dans Timeline Explorer.
Filtrez Amcache sur « PE non signé dans un chemin accessible en écriture par l'utilisateur ».
Pour chaque hit Amcache, vérifiez si un .pf existe pour le même Name. Présent → exécution confirmée. Absent → présence uniquement.
Pour chaque .pf, prenez le nom de l'exécutable et vérifiez Amcache pour le hash et les métadonnées.

Pour une couverture complète, voir Amcache vs Prefetch.