Блог творческого ИТ-практика — возьми свою мысль и придай ей ускорение идеи! В фокусе: сети, безопасность, виртуализация, web, мультимедиа.
Главная
А А Friday, 24 July 2020
Какие программы запускались в Windows?
Время от времени нам ставят задачи выяснить какой софт запускался на компьютере пользователя. А Windows такая молодец что следит направо и налево поэтому недостатка в такой информации нету.
Итак вначале можно заглянуть сюда и увидеть что запускал конкретный пользователь:
C:UsersUserNameRecent
А здесь Windows регистрирует общие запуски:
C:WindowsPrefetch
Для дополнительного сбора информации пробуем использовать несколько утилит, которые не требуют инсталяции.
IEHistory Viewer хоть и не предназначен для поиска программ запущенных ранее, но может показать обращение ко многим файлам, в том числе и ЕХЕ, в системе. Достаточно изменить фильтр типов на «file» или «mk». Увы, но утилита не работает корректно в Windows 10.
Как сделать чтобы программы запускались быстрее на Windows 7.8.10
ExecutedProgramsList — маленькая утилита, которая может отобразить список программ и пакетных файлов, которые ранее были запущенны в вашей системе. Автор программы известный программист Nir Sofer, который написал огромное количество бесплатных программ – ссылки на их названия будут давать параллельно по тексту.
Запускаем приложение и сканируем компьютер.
После того как сканирование завершилось, вы увидите список программ. Для каждой запущенной программы, утилита покажет:
• Название файла
• Время изменения
• Время создания
• Время запуска
• Размер файла
• Атрибут файла
• Расширение
• Версию программы
• Название компании
Утилита работает на всех версиях Windows, начиная с Windows XP и заканчивая Windows 8 (может быть Windows 10).
LastActivityView – это еще одна маленькая, бесплатная утилита от Nir Sofer, которая используется для сбора данных, касающихся активности пользователя ПК. Программа выполняет сбор информации и их отображение в специальном журнале событий.
С помощью приложения LastActivityView можно быстро и легко узнать время того или иного события, информацию о том, когда был включен или выключен компьютер, какие конкретно .ехе файлы и когда были запущены. Обращаю ваше внимание на колонку DataSource, это место откуда была взята та или иная информация. Все полученные данные вы можете экспортировать в файл формата HTML, XML, CSV.
Если вы — опытный пользователь, то можете не использовать сторонние программы, а поискать информацию о запущенных программах в реестре Windows.
Данные о запущенных программах находится в таких ветках реестра:
- Registry Key: HKEY_CURRENT_USERClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache
- Registry Key: HKEY_CURRENT_USERMicrosoftWindowsShellNoRoamMUICache
- Registry Key: HKEY_CURRENT_USERMicrosoftWindows NTCurrentVersionAppCompatFlagsCompatibility AssistantPersisted
- Registry Key: HKEY_CURRENT_USERMicrosoftWindows NTCurrentVersionAppCompatFlagsCompatibility AssistantStore
- Windows Prefetch folder (C:WindowsPrefetch)
- HKCUSoftwareMicrosoftInternet ExplorerLowRegistryAudioPolicyConfigPropertyStore (очень часто)
- HKLMSOFTWAREMicrosoftTracing (реже)
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths (ещё реже)
- HKLMSOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications (troubleshooting)
Такой список читать неудобно (юникод), но уже есть утилиты, которые представят эти папки в нормальном виде. Некоторые из таких трудночитаемых (REG_BINARY/REG_NONE, т.е. не строковых) «параметров» уже читаются в LastActivityView.
В HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 ну и в ShellBagsView.
Списки часто используемых программ о большем расскажут в OpenSaveFilesView.
UserAssistView покажет ещё останки, которые в одноимённом ключе выглядят в Rot13-шифре. Кстати, в Rot-13 не только UserAssist «шифруется», есть ещё несколько, да ещё и в двоичных типах, как например IconStreams в HKCUSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsCurrentVersionTrayNotify (если файл хоть раз был в области уведомлений, то его можно найти тут).
Я думаю, пока достаточно.
Источник: nyukers.blogspot.com
Как посмотреть историю на компьютере?
Издавна люди наблюдали друг за другом. Сейчас с появлением компьютеров следить за человеком стало намного проще, а получив доступ к ПК пользователя, можно и вовсе узнать, чем он занимается в Сети, какие программы запускает, что открывает и т.д. Как посмотреть историю на компьютере?
Если вашим компьютером пользуются другие люди, то самый простой способ узнать, что делали с вашим ПК, – это установка кейлоггера. Кейлоггер – специальная программа, которая сохраняет все введенные на компьютере пароли, запоминает переписку в Скайпе или в ICQ. Помимо этого, в настройках программы можно задать автоматическое создание скриншотов. Причем другой пользователь не будет даже подозревать о том, что за ним следят. Правда, большая часть клавиатурных шпионов – платные программы.
Но есть бесплатная замена кейлоггеру – дневник программы Punto Switcher. Утилита, которая автоматически переключает языки, имеет особый дневник, в котором сохраняется весь текст, введенный на компьютере с клавиатуры. Таким образом, программа без ведома пользователя сохраняет все его пароли, логины и переписку в специальный файл.
Если вы не желаете, чтобы ваш дневник прочли другие пользователи, вы можете установить на него пароль. Активировать дневник довольно просто. Достаточно установить Пунто Свитчер и кликнуть правой кнопкой на иконку программы в трее. Затем вам нужно выбрать пункт меню «Настройки».
В новом окне выбираем вкладку «Дневник», ставим галочку рядом с пунктом «Вести дневник», кликаем «Применить», а затем кнопку «ОК».
Вас интересует переписка в ICQ или любой другой программе? Достаточно открыть папку с программой, найти папку History и открыть файл блокнотом.
Помимо паролей и переписки, можно узнать, какие программы запускались на компьютере в ваше отсутствие. Первым делом нужно открыть папку «Prefetch», расположенную по адресу C:WindowsPrefetch. Затем отсортировываем файлы в папке по дате.
Большинство файлов в этой папке вам будут известны. Каждый файл – это программа, последний запуск которой отмечен в столбце «Дата изменения».
Узнав, какие программы были запущены на ПК, можно получить информацию об открывавшихся на компьютере документах. Для этого нужно активировать пункт «Недавние документы» в меню «Пуск». В Windows XP он был установлен по умолчанию, но в Windows 7/8 компания Microsoft скрыла его от посторонних глаз.
Итак, жмем кнопку «Пуск», на вкладке «Все программы» кликаем правой кнопкой мыши и выбираем «Свойства».
В новом окошке на вкладке «Меню Пуск» кликаем по кнопке «Настроить».
Во вкладке «Настройка меню Пуск» пролистываем примерно до середины и ставим галочку рядом с пунктом «Недавние документы». Подтверждаем кнопкой «ОК» и закрываем настройки.
Теперь в вашем меню над ссылкой «Компьютер» будет ссылка «Недавние документы», кликнув по которой вы можете узнать, какие документы открывались на вашем ПК.
В Windows имеется специальный журнал событий, в котором отображается информация о включении/выключении компьютера и использованных программах. Чтобы увидеть данный журнал, открываем меню «Пуск», кликаем на вкладке «Компьютер» правой кнопкой и выбираем «Управление».
Затем слева выбираем вкладку «Просмотр событий» и изучаем предложенную системой информацию.
Но большинство пользователей интересует, какие сайты посещали с того или иного браузера. К примеру, чтобы узнать историю на Google Chrome, нужно запустить браузер и нажать на клавиатуре одновременно две кнопки: CTRL и H.
Правда, если пользователь подчистил следы своей деятельности на вашем компьютере специальными программами, к примеру CCleaner`ом, то получить информацию о действиях на ПК будет довольно сложно, а порой и невозможно.
Похожие статьи
/rating_on.png)
/rating_off.png)
(4 оценок, среднее: 4,00 из 5)
Источник: thedifference.ru
Как узнать, чем загружен процессор.
Решение проблемы с svchost.exe.
После включения компьютера его процессор постоянно выполняет какие-то задачи. Если этих задач станет слишком много или они будут очень тяжелыми, компьютер может начать «тормозить».
Запускать выполнение процессором задач может как пользователь, так и операционная система компьютера, а также установленные программы, в том числе и вредоносные.
Как узнать, насколько сильно загружен процессор, чем именно он занят в данный момент, а также о том, как прекратить выполнение ним определенных процессов, и пойдет речь в статье.
Нужно учитывать, что «торможение» процессора может быть вызвано не только высокой степенью его загруженности, но и банальным перегревом. Какой должна быть температура процессора и как ее проверить, читайте здесь.
Отслеживать степень загруженности процессора в режиме реального времени удобно с помощью диспетчера задач Windows. С этой целью диспетчер задач необходимо запустить (как это сделать читайте здесь) и в его окне перейти на вкладку «Быстродействие». Информация о загруженности там отображается в процентах, а также в виде диаграммы.
Если на Вашем компьютере в диспетчере задач вкладки не отображаются, его необходимо переключить в стандартный режим. Подробнее об этом можно узнать здесь.
Чтобы получить список задач, которыми занят процессор, необходимо в диспетчере задач перейти на вкладку «Процессы». Откроется список активных в данный момент процессов. Напротив каждого из них в графе «ЦП» будет отображаться процент ресурсов центрального процессора, расходуемых на его выполнение. Кроме того, в графе «Описание» будет размещена информация о программе, ответственной за запуск процесса, а в графе «Пользователь» — название пользователя, от имени которого он запущен.
Чтобы остановить процесс и освободить занятые им ресурсы, нужно щелкнуть по нему правой кнопкой мышки и в появившемся контекстном меню выбрать пункт «Завершить процесс». Затем подтвердить свои намерения в открывшемся диалоговом окне.
Однако, если какой-то «тяжелый» процесс все время запускается автоматически, постоянное его «ручное» завершение — не лучший способ решения проблемы. Необходимо найти причину этого безобразия и устранить ее. Чаще всего, необоснованную нагрузку на процессор создают:
1. Вирусы
Вирусы могут «маскироваться» под другие программы, установленные на компьютере. Если в диспетчере задач Windows Вы обнаружили, что какой-то процесс постоянно сильно нагружает процессор, первым делом проверьте компьютер на вирусы.
2. Программы из автозагрузки
Многие программы, устанавливаемые пользователем на компьютере, добавляются в автозагрузку Windows и стартуют вместе с компьютером в фоновом режиме. Пользователь при этом может даже не подозревать, что они постоянно работают. Они могут самостоятельно обновляться, показывать разные сообщения и рекламу, а также совершать другие действия, расходуя сетевой трафик и ресурсы компьютера.
О том, как посмотреть список автозагрузки Windows и удалить из него ненужные программы, можно узнать здесь.
3. Процесс svchost.exe
Очень часто большую нагрузку на процессор создает процесс svchost.exe. Он используется многими системными службами Windows, но под него могут «маскироваться» и вирусы. При этом, для вирусов характерным является запуск этого процесса от имени пользователя компьютера. Если в своем диспетчере устройств Вы обнаружили такой случай, значит Ваш компьютер 100 % заражен, поскольку «настоящий» svchost.exe запускается только от имени системы и некоторых ее служб.
Еще один признак использования svchost.exe вредоносной программой — его запуск через автозагрузку Windows. Туда он тоже может попасть только под воздействием вирусов. Обязательно проверьте список автозагрузки компьютера на наличие в нем записей с svchost.exe (как это сделать см. в предыдущем пункте).
Но далеко не всегда высокая активность svchost.exe бывает вызвана вредоносными программами. Служба обновления Windows, например, также использует этот процесс и способна создавать большую нагрузку. Чтобы это проверить, необходимо в диспетчере задач Windows щелкнуть правой кнопкой мышки по процессу svchost.exe, который больше всего нагружает процессор, и в появившемся контекстном меню выбрать пункт «Перейти к службам». Откроется список служб, в котором будут выделены те из них, которые причастны к запуску данного процесса.
Если среди них будет служба обновления Windows, значит с большой долей вероятности она и является причиной проблемы. Решить ее можно несколькими способами:
1. Ждать, ничего не предпринимая. Когда закончится загрузка и установка обновлений Windows, проблема исчезнет сама собой. Именно этот путь выхода из ситуации является наиболее предпочтительным. Но если компьютер сильно «тормозит» и без него в данный момент нельзя обойтись, можно попробовать другие варианты.
2. Разрешить процессу svchost.exe использовать только часть ядер процессора. Делается это так:
• щелкнуть правой кнопкой мышкой по «тяжелому» процессу svchost.exe в диспетчере задач Windows;
• в появившемся контекстном меню выбрать пункт «Задать соответствие»;
• в открывшемся окне оставить галочки только возле одного или двух ядер процессора (в зависимости от того, сколько их у процессора вообще) и нажать кнопку «ОК».
3. Полностью отказаться от загрузки и установки обновлений Windows. Делать это не рекомендуется, но если Вас не сильно волнует безопасность компьютера, то можно. С этой целью достаточно отключить системную службу обновления Windows, действуя следующим образом:
• на клавиатуре нажать комбинацию клавиш Win+R, в появившемся окне напечатать команду services.msc , после чего нажать клавишу Enter;
• в открывшемся списке системных служб найти службу с названием «Центр обновления Windows» (см. ближе к концу списка) и дважды щелкнуть по ней левой кнопкой мышки;
• откроется окно, в котором в выпадающем списке «Тип запуска» выбрать вариант «Отключена», затем нажать кнопку «Применить»;
• закрыть все открытые окна и перезагрузить компьютер.
ПОДЕЛИТЬСЯ:
НАПИСАТЬ АВТОРУ
Источник: www.chaynikam.info