Articles avec le tag « prefetch »

• Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?

  Les fichiers .pf sont des enregistrements Windows Prefetch — preuve qu'un binaire s'est exécuté, avec horodatages d'exécution et listes de fichiers chargés. Les entrées Amcache enregistrent la présence, avec le hash SHA-1 et les métadonnées.

  2026-05-24

• Qu'est-ce que Windows Prefetch ? (glossaire)

  Prefetch est le dossier Windows de fichiers .pf enregistrant chaque exécution de binaire, avec jusqu'à 8-10 horodatages d'exécution par binaire et les fichiers que chacun a chargés. La preuve d'exécution Windows la plus forte.

  2026-05-24

• Amcache vs Prefetch : ce que chacun prouve vraiment

  Amcache enregistre la présence ; Prefetch enregistre l'exécution. Une référence pratique pour savoir quand utiliser chacun, sur quoi ils se recoupent, et comment les combiner dans une timeline DFIR.

  2026-05-24