Время от времени нам ставят задачи выяснить какой софт запускался на компьютере пользователя. А Windows такая молодец что следит направо и налево поэтому недостатка в такой информации нету.
C:\Users\UserName\Recent
А здесь Windows регистрирует общие запуски:
C:\Windows\Prefetch
Для дополнительного сбора информации пробуем использовать несколько утилит, которые не требуют инсталяции.
IEHistory Viewer хоть и не предназначен для поиска программ запущенных ранее, но может показать обращение ко многим файлам, в том числе и ЕХЕ, в системе. Достаточно изменить фильтр типов на "file" или "mk". Увы, но утилита не работает корректно в Windows 10.
ExecutedProgramsList - маленькая утилита, которая может отобразить список программ и пакетных файлов, которые ранее были запущенны в вашей системе. Автор программы известный программист Nir Sofer, который написал огромное количество бесплатных программ – ссылки на их названия будут давать параллельно по тексту.
Запускаем приложение и сканируем компьютер.
После того как сканирование завершилось, вы увидите список программ. Для каждой запущенной программы, утилита покажет:
• Название файла
• Время изменения
• Время создания
• Время запуска
• Размер файла
• Атрибут файла
• Расширение
• Версию программы
• Название компании
Утилита работает на всех версиях Windows, начиная с Windows XP и заканчивая Windows 8 (может быть Windows 10).
LastActivityView – это еще одна маленькая, бесплатная утилита от Nir Sofer, которая используется для сбора данных, касающихся активности пользователя ПК. Программа выполняет сбор информации и их отображение в специальном журнале событий.
С помощью приложения LastActivityView можно быстро и легко узнать время того или иного события, информацию о том, когда был включен или выключен компьютер, какие конкретно .ехе файлы и когда были запущены. Обращаю ваше внимание на колонку DataSource, это место откуда была взята та или иная информация. Все полученные данные вы можете экспортировать в файл формата HTML, XML, CSV.
Если вы - опытный пользователь, то можете не использовать сторонние программы, а поискать информацию о запущенных программах в реестре Windows.
Данные о запущенных программах находится в таких ветках реестра:
- Registry Key: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- Registry Key: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- Windows Prefetch folder (C:\Windows\Prefetch)
- HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ (очень часто)
- HKLM\SOFTWARE\Microsoft\Tracing\ (реже)
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ (ещё реже)
- HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\ (troubleshooting)
Папки, которые когда-либо открывались проводником: *Classes\Local Settings*- не обязательно -* \Software\Microsoft\Windows\Shell\BagMRU. Тут хранятся лишь «указатели» на ..\Bags\ (а там уже настроенная ширина колонок, сортировка и т.п.)
Такой список читать неудобно (юникод), но уже есть утилиты, которые представят эти папки в нормальном виде. Некоторые из таких трудночитаемых (REG_BINARY/REG_NONE, т.е. не строковых) «параметров» уже читаются в LastActivityView.
В HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ ну и в ShellBagsView.
Списки часто используемых программ о большем расскажут в OpenSaveFilesView.
UserAssistView покажет ещё останки, которые в одноимённом ключе выглядят в Rot13-шифре. Кстати, в Rot-13 не только UserAssist «шифруется», есть ещё несколько, да ещё и в двоичных типах, как например IconStreams в HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify (если файл хоть раз был в области уведомлений, то его можно найти тут).
Я думаю, пока достаточно.
No comments:
Post a Comment
А что вы думаете по этому поводу?