Бывают ситуации, когда нужно узнать, когда и какие программы запускались на компьютере пользователя. Для этих целей можно использовать Проводник, редактор реестра, а также специальные утилиты вроде ExecutedProgramsList. С этими способами знакомы большинство продвинутых юзеров, но мало кому из них известно, что получить список недавно запускавшихся программ можно, проанализировав системный файл Amcache.hve.
Это файл реестра в формате REGF, расположенный в каталоге %SystemRoot%\AppCompat\Programs и содержащий информацию о запускаемых в системе приложениях.
Структура файла представлена набором записей, включающих в себя пути к исполняемым файлам программ и временные метки установки, запуска и удаления. Кроме того, файл хранит контрольные суммы (SHA1) запущенных программ. Поскольку файл постоянно используется Windows, его нельзя ни открыть напрямую, ни скопировать в другое расположение.
Чтобы его извлечь, вам придется либо загрузить компьютер с LiveCD и скопировать файл вручную, либо воспользоваться программами WinHex или R-Studio, позволяющими получать доступ к используемым системой файлам в обход драйвера NTFS.
В WinHex (запускать этот редактор нужно с правами администратора) необходимо выбрать в меню Tools -> Open Disk.
И указать системный раздел.
После того как программа создаст снапшот, перейдите в расположение C:\Windows\AppCompat\Programs, кликните по файлу Amcache.hve ПКМ, выберите «Recovery/Copy».
И укажите путь сохранения файла.
В R-Studio нужно выбрать системный раздел и создать его карту нажатием F5.
После этого переходим в расположение Amcache.hve, отмечаем его и выполняем восстановление в любой каталог.
В общем, какой из этих способов извлечения покажется вам наиболее удобным, тот и используйте.
Amcache.hve — бинарный файл, для его анализа вам понадобится утилита RegRipper, скачать которую можно со страницы разработчика github.com/keydet89. Если вдруг релиз окажется недоступным, скачиваем инструмент по ссылке yadi.sk/d/oB3_4Dn-Wvpy_A.
Распакуйте архив с утилитой, откройте от имени администратора командную строку, перейдите в расположение файлов RegRipper, а затем выполните команду следующего вида:
rip -r путь-к-файлу-Amcache.hve -p amcache > amcache.txt
В результате в папке RegRipper будет создан текстовый лог amcache.txt.
Который вы сможете просмотреть обычным Блокнотом.
Как можно видеть из примера, отчет содержит пути к исполняемым файлам приложений и дату последнего запуска. Указывается также и контрольная сумма, по которой можно проверить безопасность файла, пробив полученный хэш по базе VirusTotal.
Добавить комментарий