Список программ windows, когда-либо запущенных на пк
Добрый день, Друзья. Сегодня мы продолжим находить и извлекать скрытую информацию в закромах операционной системы.
Запуская каждый день те или иные программы, мы оставляем “следы” в системе, давая повод “Большому брату” и злоумышленникам отследить наши действия за компьютером и собрать о нас информацию. Зная как это делается, мы не только будем знать каналы “утечки”, но и научимся себя “защищать” и подстилать соломинку.
В этой статье мы рассмотрим, как получить список программ windows, которые мы запускали когда-то на своем ПК. Я Вам расскажу, где ОС хранит эти “секретные данные” и как его отредактировать необходимым для нас способом.
Как получить список программ windows, запущенных на пк
Операционная система сохраняет названия всех программ, которые когда-либо запускались на компьютере. Эти данные сохраняются, даже если программа никогда больше не будет запущена или если ее удалить.
Чтобы получить необходимый список программ windows, нам потребуется программа “MUI CacheView”.
- 1. Скачаем программу с сайта разработчика – ссылка.
- 2. Установка программы не требуется. Просто разархивируйте скачанный пакет и запустите программу.
- 3. Приложение автоматически проанализирует реестр и отобразит информацию в удобном для пользователя виде.
- 4. В программе предусмотрен поиск программу по названию. Для этого нажмите комбинацию клавиш “ctrl + F” и введите название программы.
- 5. Сохранить список программ windows, когда-либо запускаемых на Вашем ПК в виде отчета можно в верхнем меню. Выберите вкладку “Вид” –> в открывшемся списке кликните по пункту “HTML-отчет – Полностью”.
Отчет будет создан в папке с программой и откроется автоматически в браузере, установленным по умолчанию.
Чистим список программ windows, когда-либо запускаемых на ПК
Друзья, ниже я Вам расскажу как открыть историю запускаемых программ в ручную через поиск в реестре и подправить его таким образом, чтобы можно было за не опасаться за его утечку. Удаляем те записи, которые никто не должен увидеть.
- 1. Жмем комбинацию клавиш “ctrl + R” и вводим команду “regedit”. Далее жмем “ОК” либо клавишу “Enter”.
- 2. Для Windows XP/Windows 7:
Последовательно переходим по разделам HKEY_CURRENT_USER –> Software –> Microsoft –> Windows –> ShellNoRoam –> MUICache.
6 комментариев
Для 7ки напишите пожалуйста правильный путь в реестре.
То что написал Vasja Pupkin неверно, так как у меня там почти ничего нет.
А там должно быть очень много информации как я понимаю.
У меня 7я винда у меня путь следующий — HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
Уважаемый Евгений!У меня WIN 8.Залетел случайно аж на 4 вируса сразу в один присест.Explorer(а) нет,вместо него вылетает:C:\Program Files\internetExplorer\iexplorer.exe is not avalid win32 application.хотелось-бы знать в чём дело?
Скорее всего у Вас был вирус, который удаляет выборочно exe-файлы. Во-первых, просмотрите нашу статью — диск скорой антивирусной помощи. Там прочитаете, как проверить свой компьютер на наличие вирусов. проведете чистку. А потом уже, если у Вас есть диск аварийного восстановления (мы также об этом писали недавно), то лучше восстановиться с него, если такой диск не был подготовлен, то придется решать все проблемы в ручную — самому переустанавливать поврежденное программное обеспечение.
Удачи Вам. И не попадайте больше в такие ситуации.
А здесь моих мозгов не хватает 🙂
Евгений,здравствуйте.
Открыл реестр,зашёл в папку(у меня ХР).Не пойму,что можно здесь «подправить\удалить»?
Владимир.
Добрый день, Владимир. Вам необходимо пройти по указанному пути в пункте 2 раздела «Чистим список программ..» и удалить в правой части окна те записи, которые не должен больше никто увидеть. Например, Вы запускали какую-нибудь игру на работе и не хотели бы, чтобы кто-либо знал, что Вы отвлекались от работы. Удалите запись и все.
Статья Forensics Windows Registry — история запуска программ
Дополнение статьи Forensics Windows Registry — ntuser.dat
- [Начало] Forensics Windows Registry
- [Продолжение] Forensics Windows Registry — ntuser.dat
- [Дополнение] Forensics Windows Registry — расшифровка и отображение всех записей UserAssist (к второму пункту статьи «Forensics Windows Registry — ntuser.dat»)
- [Дополнение] Forensics Windows Registry — история запуска программ (дополнение к статье «Forensics Windows Registry — ntuser.dat»)
- Продолжение этих статей: Forensics Windows Registers all in one program
Теория:
Файл ntuser.dat его ветка HKEY_CURRENT_USER
именно значения этой ветки реестра и хранятся в указанном файле ntuser.dat ( подробно Forensics Windows Registry — ntuser.dat).
Рассмотрим какие программы были запущены. Обратимся к реестру Windows.
Каждая запущенная GUI — программа Windows оставляет историю в ключе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
Ключ содержит два подраздела GUID (запуск исполняемого файла CEBFF5CD, запуск файла ярлыков F4E57C4B):
каждый подраздел поддерживает список системных объектов, таких как программы, ярлыки и апплеты панели управления,
к которым пользователь обратился.
Значения реестра в этих подразделах зашифрованы.
Используется шифрование ROT-13, которое заменяет один символ другим, расположенным в 13 позиции от него в таблице ASCII.
Все значения кодируются ROT-13:
.exe = .RKR
.lnk = .YAX
Важно:
BAM — это служба Windows, которая контролирует активность фоновых приложений.
Эта служба существует только в новых версиях в Windows 10 начиная с обновления Fall Creators 1709.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\bam\UserSettings\
Важно:применимо для версий Win+R->WinVer до Windows Версия 1803 (не включительно), начиная с этой версии ключ реестра «RecentApps» отсутствует.
Запуск последних программ отслеживается и сохраняется в ключе RecentApps:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Search\RecentApps
Каждый ключ GUID — запущенное ранее приложение.
- AppID — название запущенного приложения
- LastAccessTime — время запуска в UTC
- LaunchCount — количество запуска программы
