Bonjour à tous, aujourd’hui je continue la série de tutos Forensics et je vais vous parler des mécanismes de Prefetch et Superfetch.

C’est quoi le Prefetch et Superfetch ?

Prefetch (Prélecture en Français) sous Windows est une technique de préchargement des programme ou de mise en cache. En gros l’idée, c’est de manière à réduire les temps de chargement des gros exe (et donc l’expérience utilisateur) ou du boot de l’OS. L’idée c’est que Windows charge à l’avance en mémoire les binaires et données, pour les avoir direct sous la main quand il faudra les exécuter. La difficulté reste de prédire intelligemment les programmes qui vont être exécutés.

Un peu de contexte ! Dans les processus de gestion mémoire de Windows, il y a un module Windows Cache Manager qui surveille les données et programme que les processus charge depuis le disque en mémoire. Spécifiquement le Cache Manager va enregistrer les choses intéressantes à conserver lors du boot et au démarrage des processus ensuite. Les programmes et données à cacher sont ensuite placée dans le prefetch par le planificateur de tâches (Task scheduler) à la demande du Cache Manager. Au prochain boot ou à la prochaine exécution d’un programme, … Lire la suite