Отказ от ответственности

Получить список запускавшихся программ

Бывают ситуации, когда нужно узнать, когда и какие программы запускались на компьютере пользователя. Для этого мы можем проанализировать системный файл Amcache.hve. Это файл реестра в формате REGF, расположенный в каталоге %SystemRoot%\AppCompat\Programs и содержащий информацию о запускаемых в системе приложениях.

Поскольку файл постоянно используется Windows, его нельзя ни открыть напрямую, ни скопировать в другое расположение. Для получения доступа к используемым системой файлам необходимо воспользоваться утилитой WinHex.

Запускаем утилиту с правами администратора и в меню выбираем Tools - Open Disk и указываем системный раздел. После того, как программа создаст снапшот, перейдите в расположение C:\Windows\AppCompat\Programs, кликните по файлу Amcache.hve ПКМ, выберите Recovery/Copy и укажите путь к сохранению файла.

Когда мы скопировали файл, нам необходимо его прочитать. Т.к. это бинарный файл, то для работы с ним нам потребуется утилита RegRipper.

Распакуйте архив с утилитой, откройте от имени администратора командную строку, перейдите в расположение файлов RegRipper, а затем выполните команду rip -r путь-к-файлу-Amcache.hve -p amcache > amcache.txt.

В результате в папке RegRipper будет создан текстовый лог amcache.txt, который можно прочитать любым текстовым редактором.

Win Hex

RegRipper
 

Пароль к архивам: ComInet

Похожие материалы по теме

Как бесплатно получить доступ к Microsoft 365 — простой лайфхак!
Как быстро получить доступ к недавно открытым файлам и папкам?
Список полезных ресурсов для Front-End разработчиков
Выпадающий список с быстрым поиском в Excel
Получить 3D-модель из любой картинки — с помощью сервиса Assets Scout.