Как узнать какие программы запускались на компьютере?

какие программы запускались

Бывают ситуации когда необходимо узнать какие программы запускались на компьютере. Например, если вы хотите контролировать детей, жену, мужа, кота-компьютерного гения. Или же вы компьютерный мастер и вам необходимо узнать, что привело к поломке или заражению компьютера вашего клиента.

Как узнать какие программы запускались?

Существуют несколько способов узнать какие программы запускались в ваше отсутствие. В этой статье я рассмотрю все известные мне способы. Если я что-то пропущу, буду рад вашим злым комментариям и гнилым помидорам (в рамках дозволенного конечно).

Итак, вы можете узнать какие программы запускались с помощью:

  • Проводника Windows
  • Реестра Windows
  • Кейлоггеров
  • Специальных программ

Главы этой статьи будут расположены в этой-же последовательности, так что вы всегда можете перейти на нужную вам главу, не читая всю статью полностью.

Узнаем какие программы запускались с помощью проводника Windows

Если вам нужно узнать, когда запускали определенную программу, например, вам необходимо узнать когда запускали браузер Mozilla Firefox. Вы можете это сделать с помощью проводника Windows.

Но для начала необходимо определиться с тем, что же такое — процесс запуска программы. В общем виде — это поиск исполняемого файла в файловой системе операционной системы, чтение его содержимого с жесткого диска в оперативную память и предоставление управления в точку старта. Простым языком, каждый запуск приложения сопровождается операцией чтения файла.

Итак, переходим в Мой КомпьютерC:/Program Files, находим там папку с установленной программой. В папке находим исполняемый файл. В нашем случае, это файл firefox.exe. Кликаем правой кнопкой мыши по файлу. В выпадающем меню выбираем Свойства файла. И на вкладке Общее видим такую картину:

Как посмотреть какие программы запускали
Как посмотреть когда запускали программу

Как вы видите на скрине выше, вкладка Свойства позволяет нам посмотреть разную информацию, в том числе и информацию о:

  • Времени создания файла (Created)
  • Времени изменения файла (Modified)
  • Времени доступа к файлу (Accessed)

Конечно эту информацию могут преднамеренно изменить, скопировав, удалив или открыв файл в блокноте. Но тем не менее, временные отметки в нормальных условиях использования программ вполне можно использовать в ситуациях, когда вам необходимо выяснить время последнего запуска программ.

Узнаем какие программы запускались с помощью реестра Windows

Если вы — опытный пользователь, то можете не использовать сторонние программы, а поискать информацию о запущенных программах в реестре Windows.

Если вы собираетесь ковыряться в реестре, настоятельно рекомендую сделать резервную копию!

Данные о запущенных программах находится в этих ветках реестра:

  • Registry Key: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
  • Registry Key: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
  • Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
  • Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
  • Windows Prefetch folder (C:\Windows\Prefetch)

Такой способ можно порекомендовать людям у которых много лишнего времени или компьютерным задротам. Всем остальным я советую поберечь психику и прибегнуть к помощи специальных программ или кейлоггеров. Тем более, если они весят мало, не требуют установки, бесплатные и не просят кушать.

Узнаем время запуска программ с помощью Кейлоггеров

Еще один способ, узнать время запуска программ — это использовать клавиатурные шпионы (кейлоггеры). Кроме основной функции, с помощью данных программ вы сможете узнать логины и пароли и другой набранный на клавиатуре текст.

Кстати, если вы еще не знаете, что такое кейлоггер и как он работает, советую прочитать статью Что такое кейлоггер. Мы там рассказывали обо всех видах этих кейлоггеров или как их еще называют клавиатурных шпионов.

Еще существуют RAT-программы. почти все RAT-ы имеют встроенный кейлоггер с помощью которого вы можете определить время запуска программ. Но знайте! Такие программы в отличие от кейлоггеров считаются незаконными. Подробно про РАТ мы писали в статье Что такое RAT-программа.

Узнаем время запуска программ с помощью специальных утилит

А теперь перейдем к специальным утилитам, которые созданы специального для того, чтобы узнать когда, как и кем запускалась та или иная программа. В рамках этой статьи я расскажу о двух таких программах — это ExecutedProgramsList и LastActivityView.

ExecutedProgramsList

ExecutedProgramsList — маленькая утилита, которая может отобразить список программ и пакетных файлов, которые ранее были запущенны в вашей системе. Автор программы известный Израильский программист Нир Софер, который написал огромное количество бесплатных программ.

Итак, запускаем приложение и сканируем компьютер.

Как узнать какие программы запускались
Как узнать какие программы запускались

После того как сканирование завершилось, вы увидите список программ. Для каждой запущенной программы, утилита покажет:

  • Название файла
  • Время изменения
  • Время создания
  • Время запуска
  • Размер файла
  • Атрибут файла
  • Расширение
  • Версию программы
  • Название компании

Утилита работает на всех версиях Windows, начиная с Windows XP и заканчивая Windows 8 (может быть Windows 10). На 32 и 64 битных системах.

Скачать программу ExecutedProgramsList бесплатно, с сайта разработчика вы можете по этой прямой ссылке. А по этой ссылке скачать русификатор, который необходимо разархивировать и бросить в папку с программой.

LastActivityView

LastActivityView – это еще одна маленькая, бесплатная утилита от Nir Sofer, которая используется для сбора данных, касающихся активности пользователя ПК. Программа выполняет сбор информации и их отображение в специальном журнале событий.

Посмотреть запуск приложений

С помощью приложения LastActivityView можно быстро и легко узнать время того или иного события, информацию о том, когда был включен или выключен компьютер, какие конкретно .ехе файлы и когда были запущены.

Все полученные данные вы можете экспортировать в файл формата HTML, XML, CSV. Скачать и узнать подробнее о программе LastActivityView.

Вот вроде бы и все. Надеюсь что этот обзор вам помог. Если вам есть что сказать, буду рад вашим комментариям. Всем удачи!  И не забудьте подписаться на нас в социальных сетях или поделится ссылкой с друзьями!

ВКонтакте
OK
Telegram
WhatsApp
Viber

4 комментария

  1. Аватар
    Sound Garden

    Напишите пожалуста статью как отследить запуск программ на мак или посоветуйте программу.

  2. Аватар
    Алекс

    Спасибо! Помогло!

  3. Аватар
    «G~Lí†çh»

    Списки часто используемых программ о большем расскажут (как OpenSaveFilesView)!.. Чего так мало?

    HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ (очень часто)
    HKLM\SOFTWARE\Microsoft\Tracing\ (реже)
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ (ещё реже)
    HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\ (связано с «решением проблем»?)

    Папки, которые когда-либо открывались проводником: *Classes\Local Settings*—не обязательно–* \Software\Microsoft\Windows\Shell\BagMRU
    Тут хранятся лишь «указатели» на ..\Bags\ (а там уже настроенная ширина колонок, сортировка и т.д., даже расположение «значков»).
    Да, этот список читать неудобно (имена-то в юникоде!), но уже есть проги, которые представят эти папки в нормальном виде… Некоторые из таких трудночитаемых (REG_BINARY/REG_NONE, т.е. не строковых) «параметров» уже читаются в LastActivityView (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\), ну и ShellBagsView.

    UserAssistView, опять же, того же NirSofer’а, покажет ещё останки, которые в одноимённом ключе выглядят в Rot13-шифре.

    Кстати, в Rot-13 не только UserAssist «шифруется», есть ещё несколько, да ещё и в двоичных типах (изврат ещё какой!), как например IconStreams в HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify (если «прога» хоть раз была в области уведомлений, то её можно найти тут)

  4. Аватар
    Юрий

    спасибо!!!!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *