Articles avec le tag « glossaire »

• Qu'est-ce que SRUM (SRUDB.dat) ? (glossaire)

  SRUM est le System Resource Usage Monitor Windows — une base de données ESE enregistrant l'utilisation CPU, réseau et E/S par application en buckets horaires sur 30-60 jours.

  2026-05-24

• Qu'est-ce que ShimCache (AppCompatCache) ? (glossaire)

  ShimCache est un cache maintenu par le noyau dans la ruche du registre SYSTEM enregistrant jusqu'à 1024 binaires que le loader Windows a touchés. Différent d'Amcache.

  2026-05-24

• Qu'est-ce que le ProgramId Amcache ? (glossaire)

  ProgramId est le hash d'identité applicative de 44 caractères qu'Amcache attribue à chaque application logique. Le même ProgramId sur différents hôtes signifie la même installation d'application.

  2026-05-24

• Qu'est-ce que Windows Prefetch ? (glossaire)

  Prefetch est le dossier Windows de fichiers .pf enregistrant chaque exécution de binaire, avec jusqu'à 8-10 horodatages d'exécution par binaire et les fichiers que chacun a chargés. La preuve d'exécution Windows la plus forte.

  2026-05-24

• Qu'est-ce que LinkDate dans Amcache ? (glossaire)

  LinkDate est le TimeDateStamp de l'en-tête PE qu'Amcache enregistre — quand le binaire a été compilé ou linké, pas quand il est apparu sur l'hôte.

  2026-05-24

• Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)

  KeyLastWriteTimestamp est l'heure de dernière écriture au niveau registre d'une entrée Amcache — ce qui se rapproche le plus, dans Amcache, de « quand l'appraiser a enregistré ce fichier ».

  2026-05-24

• Qu'est-ce que Root\InventoryApplicationFile ? (glossaire)

  InventoryApplicationFile est la clé de registre principale d'Amcache — une sous-clé par binaire PE inventorié par l'appraiser, avec chemin, SHA-1, éditeur, date de link et horodatages.

  2026-05-24

• Qu'est-ce que le FileId Amcache ? (glossaire)

  FileId est l'identifiant de 41 caractères qu'Amcache stocke pour chaque fichier — '0000' + le SHA-1 hex des 31 premiers Mio du fichier.

  2026-05-24

• Qu'est-ce que le triage DFIR ? (glossaire)

  Le triage DFIR est l'examen rapide en première passe d'un hôte suspecté compromis pour confirmer ou écarter une compromission en quelques minutes. Amcache est l'un des artefacts de triage les plus rapides sur Windows.

  2026-05-24

• Qu'est-ce que le Compatibility Appraiser ? (glossaire)

  Le Microsoft Compatibility Appraiser est la tâche planifiée Windows qui inventorie les logiciels installés et écrit les enregistrements dans Amcache.hve.

  2026-05-24

• Qu'est-ce que BYOVD (Bring-Your-Own-Vulnerable-Driver) ? (glossaire)

  BYOVD est la technique d'attaquant consistant à déposer un pilote noyau légitimement signé mais exploitable pour obtenir une exécution en mode noyau. Le InventoryDriverBinary d'Amcache enregistre chaque pilote chargé.

  2026-05-24

• Qu'est-ce qu'Amcache.hve ? (glossaire)

  Amcache.hve est la ruche du registre Windows qui enregistre chaque binaire PE que le Compatibility Appraiser a inventorié sur l'hôte, avec hash, chemin et heure d'inventaire.

  2026-05-24