Проверить, запускался ли файл в Windows

Когда система ведет себя странно или обнаруживает наличие подозрительных или опасных программ, может быть полезно проверить, выполнялся ли файл и сколько раз он запускался.

Найти информацию о файлах, исполняемых в Windows, непросто, однако мы хотим предложить вам некоторые указания для быстрого сбора необходимых данных.

Фактически, операционная система скрывает некоторую (в некоторых малоизвестных областях) полезную информацию для проверки того, был ли уже выполнен файл.

Windows отслеживает программы, которые запускаются при загрузке системы, и программы, которые впоследствии выполняются в так называемой папке «предварительной выборки». В этом каталоге хранятся имена загруженных файлов вместе с прямой ссылкой на их расположение на жестком диске. С помощью этого средства Windows может быстрее загружать предварительно загруженные файлы.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Содержимое папки prefetch можно проверить, зайдя в папку c:windowsprefetch. Однако информация, хранящаяся в файлах с расширением .pf, не может быть расшифрована напрямую.

Использование программы WinPrefetchView вы сможете проверить содержимое всех файлов предварительной выборки, сохраненных Windows.

Информация, отображаемая WinPrefetchView, весьма полезна, поскольку позволяет установить не только имена файлов, которые уже были запущены в системе, но также дату запуска и количество раз выполнения каждого элемента (столбец счетчика выполнения).

Проверить, запускался ли файл в Windows

Изучив содержимое папки Windows Prefetch, вы сможете получить представление о файлах, которые выполнялись в системе, и о том, сколько раз они использовались.

Однако, как и ожидалось, реестр Windows также содержит много ценной информации об уже выполненных файлах.

Одним из самых интересных ключей является UserAssist: он также содержит ряд трассировок по исполняемым файлам и количеству запусков.

Значения, содержащиеся в подразделах HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist, кажутся непонятными, потому что они закодированы простым Шифр ROT13.

Чтобы их сразу «расшифровать», можно воспользоваться бесплатным приложением UserAssistView.

Проверить, запускался ли файл в Windows

Опять же, столбец Count показывает, сколько раз соответствующая программа запускалась в системе.

Дополнительный ключ в реестре Windows полезен для проверки программ, запущенных в системе. Это тот, который известен как ShimCache или AppCompatCache, используемый Windows для выявления любых проблем совместимости между различными приложениями.

Также шифруется информация, содержащаяся в ключах HKLMSYSTEMCurrentControlSetControlSession ManagerAppCompatibilityAppCompatCache (системы Windows XP) и HKLMSYSTEMCurrentControlSetControlSession ManagerAppCompatCacheAppCompatCache (системы Windows после Windows XP). и их расшифровка, как правило, невозможна путем анализа копии реестра Windows, используемой операционной системой во время ее работы.

Среди немногих приложений, позволяющих использовать содержимое двух ключей во время работы Windows, есть утилита Windows AppCompatibility Cache Utility, которую можно загрузить по следующим ссылкам в версиях для 32- и 64-разрядных систем Windows:
TZWorks Windows AppCompatibility Cache Utility, 32-разрядная версия
TZWorks Windows AppCompatibility Cache Utility, 64-разрядная версия

Чтобы использовать программу, после распаковки содержимого Zip-архива в папку на жестком диске, вам нужно будет открыть командную строку Windows (cmd) с правами администратора, а затем ввести следующее:

wacu -livesys > out.txt

Открыв файл out.txt, вы найдете в открытом виде список запущенных в системе приложений с датой и временем выполнения и полным путем. В бесплатной версии Windows AppCompatibility Cache Utility формат даты не редактируется и всегда отображается в форме США, т.е. мм/дд/гггг.

Наконец, также можно просмотреть содержимое так называемого «кеша MUI» Windows: это список, который операционная система постоянно обновляет, чтобы отслеживать наиболее часто выполняемые приложения.

По сравнению с предыдущими предложениями, «кэш многоязыкового пользовательского интерфейса» обычно возвращает неинтересные результаты, но, возможно, его все же стоит проверить и здесь.

Чтобы быстро получить содержимое «кеша многоязыкового пользовательского интерфейса» Windows, вы можете использовать следующие команды (вводятся из окна командной строки):

reg query «HKCUSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache» (все версии Windows после Windows XP)
reg-запрос «HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache» (Windows 2000, Windows Server 2003, Windows XP).

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *