Мало кому из людей понравится, когда кто-то без спроса и разрешения позволяет себе пользоваться их личными вещами. В особенности это касается предметов личной гигиены, а ещё компьютера, поскольку последний часто используется для хранения сугубо конфиденциальной информации. Поэтому уметь распознавать подобные вторжения и их попытки будет даже очень кстати, тем более, что это не такая уже и Бог весть какая сложная задача, если только влезший в ваш компьютер человек не профессиональный хакер.
Кто последний работал на моем компьютере
Любое действие в системе, даже без входа в учётную запись пользователя так или иначе оставляет в ней следы, не говоря уже о просмотре файлов, интернет-серфинге и изменении конфигурации. В таких случаях, кстати, очень бы пригодился какой-нибудь кейлоггер или другая выполняющая подобную задачу программа, но Windows и сама не лыком шита, обладая набором средств регистрации ключевых событий, которыми как раз являются загрузка, вход и выход из учётной записи, запуск фоновых служб приложений и так далее.
Что бы на Windows XP запускались программы
Анализируем Журнал событий
Возможно, это не самый удобный, но зато наиболее эффективный способ зафиксировать ключевые моменты в работе системы и приложений. Предположим, что вы завершили работу Windows в 18.02, ушли по делам и вернулись через полчаса, в 18.32. Загрузившись, первым делом открываем командой eventvwr.msc Журнал и выбираем в левой колонке пункт «Система», справа жмём «Фильтр текущего журнала»
Просматриваем записи и видим, что работу мы завершили в 18.02, на что указывает событие «Системное завершение работы», совпадающее с этим временем. 
Но откуда тогда у нас появилось событие с кодом 1 и временной меткой 18.14, если в это время компьютер был выключен!? 
Хорошо, просматриваем следующие события и обнаруживаем в них следы чужого присутствия, в частности, пользователя «комп», инициирующего выключение питания в 18.18.
Следы будут записаны и в раздел «Безопасность»: отфильтровав, события по коду 1100, вы сможете просмотреть время завершения службы Журнала, а значит и время завершения работы компьютера. Но ведь, скажите вы, пользователь может очистить Журнал, как быть тогда? 
Тогда в Журнале останется запись об удалении записей с кодом 104 и примечанием «Файл журнала System очищен». 
КАК СДЕЛАТЬ ТАК ЧТОБЫ ПРИ ЗАПУСКЕ КОМПЬЮТЕРА НЕ ЗАПУСКАЛИСЬ ПРОГРАММЫ!
Вывод уведомлений о входах в систему
Если особого желания возиться с Журналом нет, можете воспользоваться маленькой хитростью, включив скрытую функцию вывода данных об успешных и неудачных входах в систему. Откройте командой regedit редактор реестра и разверните ключ HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem. Создайте в последней папке DWORD-параметр с именем DisplayLastLogonInfo и установите в качестве его значения 1. 
В следующий раз, когда вы войдёте в учётную запись, появится синий экран с уведомлением о предыдущем входе в систему с указанием имени пользователя, а после второй авторизации будет отображено и время входа в систему. После ознакомления с информацией жмём «ОК» и попадаем на рабочий стол.
Проверка истории браузера
Чтобы выявить нарушителя, анализа Журнала вполне достаточно, всё остальное уже относится к деталям. Например, история посещений сайтов в браузерах, но историю просмотров и поставленные сайтами куки очень легко очистить, практически не оставив следов. 
Просмотр каталога Prefetch
Если вы хотите узнать, какие программы на компьютере запускались без вашего ведома, не помешает заглянуть в системную папку C:WindowsPrefetch, содержащую кэшированные данные запускаемых приложений. Здесь вам нужно отсортировать файлы по дате изменения и сопоставить её с периодом времени, в течении которого вы отсутствовали на рабочем месте. Поскольку значительная часть PF-файлов в этой папке принадлежит системным компонентам, их названия могут вам ничего не говорить, если же программа вам хорошо знакома, вы без труда опознаете её PF-файл. Например, файл FIREFOX.EXE-A606B53C.pf явно указывает на запуск браузера Firefox 26.11.2020 в 14:14.
Последние файлы и каталоги
По умолчанию Windows автоматически запоминает все открытые файлы и каталоги, создавая на них ярлыки в папке «Последние документы». Открываем её командой shell:recent через окошко «Выполнить», отсортировываем ярлыки по дате, смотрим время последнего доступа к файлу или каталогу и делаем соответствующие выводы. Увы, такой подход не даёт возможности гарантировано поймать не в меру любопытного пользователя, поскольку ярлыки-улики могут быть им же и удалены. 
Используем кейлоггеры
Для детального отслеживания всех действий, которые могут производиться на компьютере в ваше отсутствие, можно использовать легальные программы-шпионы, так называемые кейлоггеры. Их много и все они разные, но задача у них общая — сохранять в лог любые действия пользователя, оповещая, если необходимо, о них владельцу компьютера в режиме онлайн. Примером может служить Spyrix Free Keylogger, скриншоты которой прилагаем ниже. 
Программа позволяет отслеживать нажатия клавиатуры, запуск приложений, активность в социальных сетях, просматривать буфер обмена, регистрировать подключения к компьютеру съёмных устройств и запуск принтеров. Spyrix Free Keylogger умеет создавать снимки экрана, вести запись аудио с микрофона и видео с веб-камеры и даже удалённо демонстрировать владельцу ПК рабочий стол. 
Использовать в качестве программы-шпиона можно и всем известный Punto Switcher, включив в его контекстном меню опцию «Вести дневник». Правда, вся слежка с помощью этого клавиатурного переключателя ограничится только регистрацией нажатия клавиш.
Худший сценарий
Увы, ни сама Windows, ни самый лучший кейлоггер не помогут, если ушлый пользователь загрузит ваш компьютер с LiveCD вроде Liberte Linux или Lightweight Portable Security (сегодняшний Trusted End Node Security), которая вообще не взаимодействует с внутренним жёстким диском. Эти лёгкие портативные системы на базе Linux грузятся непосредственно в оперативную память и, соответственно, полностью удаляются из неё, когда компьютер выключается. Вы узнаете о вторжении, если только в ваши файлы будут внесены изменения, но для этого нужно знать, предположительно какие файлы могли быть изменены.
Пожалуй, единственный способ защититься от таких любителей лазить по чужим компьютерам — это поставить пароль на BIOS, тотально зашифровать файлы или установить слежение за рабочим местом с помощью спрятанной видеокамеры. Возможно, существуют и какие-то аппаратные регистраторы включения/выключения компьютера; не исключено, что в новых версиях UEFI имеются программные компоненты, регистрирующие время работы ПК. Если кому-то из наших читателей что-то известно о подобных решениях, мы были бы благодарны за подсказки.
Источник: remontcompa.ru
Как получить список запускавшихся на компьютере программ, вытащив данные из файла Amcache.hve
Бывают ситуации, когда нужно узнать, когда и какие программы запускались на компьютере пользователя. Для этих целей можно использовать Проводник, редактор реестра, а также специальные утилиты вроде ExecutedProgramsList. С этими способами знакомы большинство продвинутых юзеров, но мало кому из них известно, что получить список недавно запускавшихся программ можно, проанализировав системный файл Amcache.hve .
Это файл реестра в формате REGF , расположенный в каталоге %SystemRoot%AppCompatPrograms и содержащий информацию о запускаемых в системе приложениях.
Структура файла представлена набором записей, включающих в себя пути к исполняемым файлам программ и временные метки установки, запуска и удаления. Кроме того, файл хранит контрольные суммы (SHA1) запущенных программ. Поскольку файл постоянно используется Windows, его нельзя ни открыть напрямую, ни скопировать в другое расположение.
Чтобы его извлечь, вам придется либо загрузить компьютер с LiveCD и скопировать файл вручную, либо воспользоваться программами WinHex или R-Studio, позволяющими получать доступ к используемым системой файлам в обход драйвера NTFS .
В WinHex (запускать этот редактор нужно с правами администратора) необходимо выбрать в меню Tools -> Open Disk.
И указать системный раздел.
После того как программа создаст снапшот, перейдите в расположение C:WindowsAppCompatPrograms , кликните по файлу Amcache.hve ПКМ, выберите «Recovery/Copy».
И укажите путь сохранения файла.
В R-Studio нужно выбрать системный раздел и создать его карту нажатием F5 .
После этого переходим в расположение Amcache.hve , отмечаем его и выполняем восстановление в любой каталог.
В общем, какой из этих способов извлечения покажется вам наиболее удобным, тот и используйте.
Amcache.hve — бинарный файл, для его анализа вам понадобится утилита RegRipper, скачать которую можно со страницы разработчика github.com/keydet89. Если вдруг релиз окажется недоступным, скачиваем инструмент по ссылке yadi.sk/d/oB3_4Dn-Wvpy_A.
Распакуйте архив с утилитой, откройте от имени администратора командную строку, перейдите в расположение файлов RegRipper , а затем выполните команду следующего вида:
rip -r путь-к-файлу-Amcache.hve -p amcache > amcache.txt
В результате в папке RegRipper будет создан текстовый лог amcache.txt.
Который вы сможете просмотреть обычным Блокнотом.
Как можно видеть из примера, отчет содержит пути к исполняемым файлам приложений и дату последнего запуска. Указывается также и контрольная сумма, по которой можно проверить безопасность файла, пробив полученный хэш по базе VirusTotal .
Источник: www.white-windows.ru
Как узнать какие программы запускались на компьютере?
Бывают ситуации когда необходимо узнать какие программы запускались на компьютере. Например, если вы хотите контролировать детей, жену, мужа, кота-компьютерного гения. Или же вы компьютерный мастер и вам необходимо узнать, что привело к поломке или заражению компьютера вашего клиента.
Как узнать какие программы запускались?
Существуют несколько способов узнать какие программы запускались в ваше отсутствие. В этой статье я рассмотрю все известные мне способы. Если я что-то пропущу, буду рад вашим злым комментариям и гнилым помидорам (в рамках дозволенного конечно).
Итак, вы можете узнать какие программы запускались с помощью:
- Проводника Windows
- Реестра Windows
- Кейлоггеров
- Специальных программ
Главы этой статьи будут расположены в этой-же последовательности, так что вы всегда можете перейти на нужную вам главу, не читая всю статью полностью.
Узнаем какие программы запускались с помощью проводника Windows
Если вам нужно узнать, когда запускали определенную программу, например, вам необходимо узнать когда запускали браузер Mozilla Firefox. Вы можете это сделать с помощью проводника Windows.
Но для начала необходимо определиться с тем, что же такое — процесс запуска программы. В общем виде — это поиск исполняемого файла в файловой системе операционной системы, чтение его содержимого с жесткого диска в оперативную память и предоставление управления в точку старта. Простым языком, каждый запуск приложения сопровождается операцией чтения файла.
Итак, переходим в Мой Компьютер — C:/Program Files , находим там папку с установленной программой. В папке находим исполняемый файл. В нашем случае, это файл firefox.exe. Кликаем правой кнопкой мыши по файлу . В выпадающем меню выбираем Свойства файла . И на вкладке Общее видим такую картину:
Как посмотреть когда запускали программу
Как вы видите на скрине выше, вкладка Свойства позволяет нам посмотреть разную информацию, в том числе и информацию о:
- Времени создания файла (Created)
- Времени изменения файла (Modified)
- Времени доступа к файлу (Accessed)
Конечно эту информацию могут преднамеренно изменить, скопировав, удалив или открыв файл в блокноте. Но тем не менее, временные отметки в нормальных условиях использования программ вполне можно использовать в ситуациях, когда вам необходимо выяснить время последнего запуска программ.
Узнаем какие программы запускались с помощью реестра Windows
Если вы — опытный пользователь, то можете не использовать сторонние программы, а поискать информацию о запущенных программах в реестре Windows.
Если вы собираетесь ковыряться в реестре, настоятельно рекомендую сделать резервную копию!
Данные о запущенных программах находится в этих ветках реестра:
- Registry Key: HKEY_CURRENT_USERClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache
- Registry Key: HKEY_CURRENT_USERMicrosoftWindowsShellNoRoamMUICache
- Registry Key: HKEY_CURRENT_USERMicrosoftWindows NTCurrentVersionAppCompatFlagsCompatibility AssistantPersisted
- Registry Key: HKEY_CURRENT_USERMicrosoftWindows NTCurrentVersionAppCompatFlagsCompatibility AssistantStore
- Windows Prefetch folder (C:WindowsPrefetch)
Такой способ можно порекомендовать людям у которых много лишнего времени или компьютерным задротам.
Всем остальным я советую поберечь психику и прибегнуть к помощи специальных программ или кейлоггеров. Тем более, если они весят мало, не требуют установки, бесплатные и не просят кушать.
Узнаем время запуска программ с помощью Кейлоггеров
Еще один способ, узнать время запуска программ — это использовать клавиатурные шпионы (кейлоггеры). Кроме основной функции, с помощью данных программ вы сможете узнать логины и пароли и другой набранный на клавиатуре текст.
Кстати, если вы еще не знаете, что такое кейлоггер и как он работает, советую прочитать статью Что такое кейлоггер. Мы там рассказывали обо всех видах этих кейлоггеров или как их еще называют клавиатурных шпионов.
Еще существуют RAT-программы. почти все RAT-ы имеют встроенный кейлоггер с помощью которого вы можете определить время запуска программ. Но знайте! Такие программы в отличие от кейлоггеров считаются не законными. Подробно про РАТ мы писали в статье Что такое RAT-программа.
Узнаем время запуска программ с помощью специальных утилит
А теперь перейдем к специальным утилитам, которые созданы специального для того, чтобы узнать когда, как и кем запускалась та или иная программа. В рамках этой статьи я расскажу о двух таких программах — это ExecutedProgramsList и LastActivityView.
ExecutedProgramsList
ExecutedProgramsList — маленькая утилита, которая может отобразить список программ и пакетных файлов, которые ранее были запущенны в вашей системе. Автор программы известный Израильский программист Нир Софер, который написал огромное количество бесплатных программ.
Итак, запускаем приложение и сканируем компьютер.
Как узнать какие программы запускались
После того как сканирование завершилось, вы увидите список программ. Для каждой запущенной программы, утилита покажет:
- Название файла
- Время изменения
- Время создания
- Время запуска
- Размер файла
- Атрибут файла
- Расширение
- Версию программы
- Название компании
Утилита работает на всех версиях Windows, начиная с Windows XP и заканчивая Windows 8 (может быть Windows 10). На 32 и 64 битных системах.
Скачать программу ExecutedProgramsList бесплатно, с сайта разработчика вы можете по этой прямой ссылке. А по этой ссылке скачать русификатор, который необходимо разархивировать и бросить в папку с программой.
LastActivityView
LastActivityView – это еще одна маленькая, бесплатная утилита от Nir Sofer, которая используется для сбора данных, касающихся активности пользователя ПК. Программа выполняет сбор информации и их отображение в специальном журнале событий.
С помощью приложения LastActivityView можно быстро и легко узнать время того или иного события, информацию о том, когда был включен или выключен компьютер, какие конкретно .ехе файлы и когда были запущены.
Все полученные данные вы можете экспортировать в файл формата HTML, XML, CSV. Скачать и узнать подробнее о программе LastActivityView.
Вот вроде бы и все. Надеюсь что этот обзор вам помог. Если вам есть что сказать, буду рад вашим комментариям. Всем удачи! И не забудьте подписаться на нас в социальных сетях или поделится ссылкой с друзьями!
Источник: newsland.com