Le système de préchargement de Windows, nommé Prefetch, optimise le chargement des programmes en enregistrant les fichiers et ressources nécessaires. Cette fonctionnalité permet d’améliorer considérablement la vitesse d’initialisation du système et l’exécution d’applications couramment utilisées.
Le Prefetch est une fonctionnalité de Windows conçue pour accélérer le chargement des programmes ainsi que l’initialisation du système d’exploitation. Découvrez davantage sur ce mécanisme.
Le Prefetch fonctionne en enregistrant les informations des fichiers et ressources nécessaires aux programmes les plus utilisés. Ces informations sont stockées dans des fichiers .pf dans le répertoire C:\Windows\Prefetch.
Chaque fois que vous démarrez le système ou exécutez une application, Windows utilise ces données pour charger ces fichiers dans la mémoire RAM, évitant ainsi des lectures inutiles du disque et accélérant le processus.
Dois-je supprimer les fichiers de la dossier Prefetch ?
Il n’est pas recommandé de supprimer manuellement les fichiers du dossier Prefetch. Windows gère automatiquement ce répertoire, supprimant les anciens fichiers et créant de nouveaux fichiers au besoin. La suppression de ces fichiers peut temporairement ralentir le système, car Windows devra recréer tous les fichiers de préchargement à chaque utilisation des programmes.
Concernant les informations contenues dans ces fichiers, on note :
- Nom de l’exécutable et chemin d’exécution
- Hash du chemin de l’exécutable
- Date/heure de création, modification et dernier accès
- Nombre d’exécutions
- Date/heure des huit dernières exécutions
- Liste des fichiers et répertoires accédés par l’exécutable
Valeur de preuve des fichiers Prefetch
- Évidence d’exécution
- Ces fichiers permettent de prouver qu’un programme a été exécuté, même si l’exécutable a été supprimé du système.
- Reconstruction d’événements
- Les horodatages permettent de créer une chronologie détaillée des actions d’un utilisateur ou d’un attaquant.
- Détection de malware
- Le Prefetch enregistre les exécutions d’outils de nettoyage, de scripts malveillants ou de programmes d’attaque, même s’ils tentent de masquer leurs traces.
- Identification des fichiers accédés
- Ces fichiers révèlent quels autres fichiers et répertoires ont été utilisés lors de l’exécution d’un programme, ce qui est utile pour suivre les mouvements latéraux ou l’exfiltration de données.
Les fichiers Prefetch peuvent être supprimés manuellement ou par des outils de nettoyage, ce qui peut nuire à l’intégrité de la preuve, voire à la totalité des preuves.
Pour visualiser le contenu de ces fichiers .pf, nous recommandons d’utiliser l’outil WinPrefetchView.