Где и как посмотреть на компьютере историю запуска и использования программ?

Защита информации на своем персональном компьютере — всегда важный вопрос для каждого пользователя. Проверить историю посещений браузера — простая задача, с которой справятся практически все, кто имеет малый опыт работы с ними. А то, как посмотреть историю посещения компьютера — уже более сложный вопрос.

К тому же необходимость проверить историю запуска и посещений может возникнуть при покупке или продаже компьютера незнакомым людям. Или же при передаче устройства в ремонт.

Встроенный инструмент

Операционная система Microsoft Windows обладает собственным набором трекеров, позволяющих отследить, какие изменения происходили с устройством, какие программы были запущены и какие ошибки в работе произошли. Это лишь один из способов того, как посмотреть историю на компьютере. Итак, непосредственно к инструменту. Он носит название «Журнал событий». На старых версиях операционной системы необходимо сделать следующее:

• перейти в меню «Пуск»;
• активировать панель управления компьютером;
• перед тем как посмотреть историю на компьютере, в левой части экрана найти строку под названием «Журнал Windows»;
• в открывшемся списке необходимо выбрать интересующий раздел;

Для того чтобы посмотреть историю запуска программ на Windows 10, нужно сделать следующее:

• запустить функцию «Поиск Windows»;
• ввести фразу «Управление компьютером»;
• в левой части открывшегося окна активировать строку под названием «Просмотр событий»;
• далее можно приступать к работе с функциями «Журналы Windows» и «Журналы приложений и служб».

Итак, мы разобрались с тем, где посмотреть историю на компьютере. Теперь стоит проверить список запускавшихся программ.

Проверка запуска приложений

Данная функция дает возможность проверить, какие приложения были запущены на компьютере, в какое время это произошло, а также какие ошибки возникли при работе. Чтобы проверить эту информацию, необходимо выполнить следующий алгоритм:

• в уже запущенном окне «Управление компьютером» выбрать строку «Журналы Windows»;
• после нажатия на нее откроется список, из него выбирается пункт под названием «Приложение»;
• после его активации с правой стороны окна появится еще один список с различными сведениями (он сообщает о том, какие приложения запускались на данном устройстве, в какое время это произошло и какие ошибки при этом возникали).

Теперь можно поговорить о том, как посмотреть на компьютере историю появления новых приложений.

История установок

Для того чтобы проверить, что и когда из программ появилось на вашем устройстве, необходимо выполнить следующие действия:

• запустить окно «Управление компьютером»;
• активировать строку «Журналы Windows»;
• из появившегося списка выбрать функцию «Установка». Появится перечень данных, отображающих приложения, установленные за последние несколько месяцев.

Стоит отметить, что данная система не слишком точна. В качестве примера приведена история: «06.05.2018 была установлена программа. Однако последняя дата установки за 13.04.2018».

Как посмотреть на компьютере историю включения и выключения

Данная возможность позволяет проверить, кто пользовался устройством в отсутствие хозяина. Если компьютер находится под защитой пароля, можно проверить, сколько раз кто-либо пытался попасть в систему.

Проверить данную информацию можно при помощи того же самого алгоритма:

• с помощью «Поиска Windows» на панели задач перейти в программу «Управление компьютером»;
• в открывшемся окне выбрать пункт «Журналы Windows»;
• в этом случае необходимо обратиться к строке «Система»;
• после ее активации откроется перечень событий, произошедших за время работы компьютера.

Чтобы проверить все в прямом порядке, необходимо отсортировать информацию по дате. Далее можно просто проверять информацию по времени, которое вас интересует.

Как проверить дату изменения файла?

Для того чтобы выяснить, происходило ли что-нибудь с устройством в ваше отсутствие, можно проверить состояние файлов. Точнее — дату их изменения. Делается это так:

• перейти в директорию искомого файла;
• правой кнопкой мыши нажать на ярлык приложения, и в появившемся списке выбрать пункт «Свойства»;
• в новом окне пролистать вниз до строк «Создан» и «Изменен».

Статья Forensics Windows Registry — история запуска программ

Дополнение статьи Forensics Windows Registry — ntuser.dat

• [Начало] Forensics Windows Registry
• [Продолжение] Forensics Windows Registry — ntuser.dat
• [Дополнение] Forensics Windows Registry — расшифровка и отображение всех записей UserAssist (к второму пункту статьи «Forensics Windows Registry — ntuser.dat»)
• [Дополнение] Forensics Windows Registry — история запуска программ (дополнение к статье «Forensics Windows Registry — ntuser.dat»)
• Продолжение этих статей: Forensics Windows Registers all in one program

Теория:
Файл ntuser.dat его ветка HKEY_CURRENT_USER
именно значения этой ветки реестра и хранятся в указанном файле ntuser.dat ( подробно Forensics Windows Registry — ntuser.dat).
Рассмотрим какие программы были запущены. Обратимся к реестру Windows.

Каждая запущенная GUI — программа Windows оставляет историю в ключе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\\Count
Ключ содержит два подраздела GUID (запуск исполняемого файла CEBFF5CD, запуск файла ярлыков F4E57C4B):
каждый подраздел поддерживает список системных объектов, таких как программы, ярлыки и апплеты панели управления,
к которым пользователь обратился.
Значения реестра в этих подразделах зашифрованы.
Используется шифрование ROT-13, которое заменяет один символ другим, расположенным в 13 позиции от него в таблице ASCII.
Все значения кодируются ROT-13:
.exe = .RKR
.lnk = .YAX

Важно:
BAM — это служба Windows, которая контролирует активность фоновых приложений.
Эта служба существует только в новых версиях в Windows 10 начиная с обновления Fall Creators 1709.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\bam\UserSettings\

Важно:применимо для версий Win+R->WinVer до Windows Версия 1803 (не включительно), начиная с этой версии ключ реестра «RecentApps» отсутствует.
Запуск последних программ отслеживается и сохраняется в ключе RecentApps:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Search\RecentApps
Каждый ключ GUID — запущенное ранее приложение.

• AppID — название запущенного приложения
• LastAccessTime — время запуска в UTC
• LaunchCount — количество запуска программы

Как узнать какие программы запускались на компьютере?

Бывают ситуации когда необходимо узнать какие программы запускались на компьютере. Например, если вы хотите контролировать детей, жену, мужа, кота-компьютерного гения. Или же вы компьютерный мастер и вам необходимо узнать, что привело к поломке или заражению компьютера вашего клиента.

Как узнать какие программы запускались?

Существуют несколько способов узнать какие программы запускались в ваше отсутствие. В этой статье я рассмотрю все известные мне способы. Если я что-то пропущу, буду рад вашим злым комментариям и гнилым помидорам (в рамках дозволенного конечно).

Итак, вы можете узнать какие программы запускались с помощью:

• Проводника Windows
• Реестра Windows
• Кейлоггеров
• Специальных программ

Главы этой статьи будут расположены в этой-же последовательности, так что вы всегда можете перейти на нужную вам главу, не читая всю статью полностью.

Узнаем какие программы запускались с помощью проводника Windows

Если вам нужно узнать, когда запускали определенную программу, например, вам необходимо узнать когда запускали браузер Mozilla Firefox. Вы можете это сделать с помощью проводника Windows.

Но для начала необходимо определиться с тем, что же такое — процесс запуска программы. В общем виде — это поиск исполняемого файла в файловой системе операционной системы, чтение его содержимого с жесткого диска в оперативную память и предоставление управления в точку старта. Простым языком, каждый запуск приложения сопровождается операцией чтения файла.

Итак, переходим в Мой Компьютер — C:/Program Files , находим там папку с установленной программой. В папке находим исполняемый файл. В нашем случае, это файл firefox.exe. Кликаем правой кнопкой мыши по файлу . В выпадающем меню выбираем Свойства файла . И на вкладке Общее видим такую картину:

Как посмотреть когда запускали программу

Как вы видите на скрине выше, вкладка Свойства позволяет нам посмотреть разную информацию, в том числе и информацию о:

• Времени создания файла (Created)
• Времени изменения файла (Modified)
• Времени доступа к файлу (Accessed)

Конечно эту информацию могут преднамеренно изменить, скопировав, удалив или открыв файл в блокноте. Но тем не менее, временные отметки в нормальных условиях использования программ вполне можно использовать в ситуациях, когда вам необходимо выяснить время последнего запуска программ.

Узнаем какие программы запускались с помощью реестра Windows

Если вы — опытный пользователь, то можете не использовать сторонние программы, а поискать информацию о запущенных программах в реестре Windows.

Данные о запущенных программах находится в этих ветках реестра:

• Registry Key: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• Registry Key: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
• Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
• Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
• Windows Prefetch folder (C:\Windows\Prefetch)

Такой способ можно порекомендовать людям у которых много лишнего времени или компьютерным задротам. Всем остальным я советую поберечь психику и прибегнуть к помощи специальных программ или кейлоггеров. Тем более, если они весят мало, не требуют установки, бесплатные и не просят кушать.

Узнаем время запуска программ с помощью Кейлоггеров

Еще один способ, узнать время запуска программ — это использовать клавиатурные шпионы (кейлоггеры). Кроме основной функции, с помощью данных программ вы сможете узнать логины и пароли и другой набранный на клавиатуре текст.

Кстати, если вы еще не знаете, что такое кейлоггер и как он работает, советую прочитать статью Что такое кейлоггер. Мы там рассказывали обо всех видах этих кейлоггеров или как их еще называют клавиатурных шпионов.

Узнаем время запуска программ с помощью специальных утилит

А теперь перейдем к специальным утилитам, которые созданы специального для того, чтобы узнать когда, как и кем запускалась та или иная программа. В рамках этой статьи я расскажу о двух таких программах — это ExecutedProgramsList и LastActivityView.

ExecutedProgramsList

ExecutedProgramsList — маленькая утилита, которая может отобразить список программ и пакетных файлов, которые ранее были запущенны в вашей системе. Автор программы известный Израильский программист Нир Софер, который написал огромное количество бесплатных программ.

Итак, запускаем приложение и сканируем компьютер.

Как узнать какие программы запускались

После того как сканирование завершилось, вы увидите список программ. Для каждой запущенной программы, утилита покажет:

• Название файла
• Время изменения
• Время создания
• Время запуска
• Размер файла
• Атрибут файла
• Расширение
• Версию программы
• Название компании

Утилита работает на всех версиях Windows, начиная с Windows XP и заканчивая Windows 8 (может быть Windows 10). На 32 и 64 битных системах.

Скачать программу ExecutedProgramsList бесплатно, с сайта разработчика вы можете по этой прямой ссылке. А по этой ссылке скачать русификатор, который необходимо разархивировать и бросить в папку с программой.

LastActivityView

LastActivityView – это еще одна маленькая, бесплатная утилита от Nir Sofer, которая используется для сбора данных, касающихся активности пользователя ПК. Программа выполняет сбор информации и их отображение в специальном журнале событий.

С помощью приложения LastActivityView можно быстро и легко узнать время того или иного события, информацию о том, когда был включен или выключен компьютер, какие конкретно .ехе файлы и когда были запущены.

Все полученные данные вы можете экспортировать в файл формата HTML, XML, CSV. Скачать и узнать подробнее о программе LastActivityView.

Вот вроде бы и все. Надеюсь что этот обзор вам помог. Если вам есть что сказать, буду рад вашим комментариям. Всем удачи! И не забудьте подписаться на нас в социальных сетях или поделится ссылкой с друзьями!

Как посмотреть историю последних действий работы компьютера

Компьютер ведёт учёт всех действий пользователя. Специалисты ПК знают, как посмотреть историю, какие запускались приложения и файлы, а также всю работу пользователя в интернете. Овладеть этой возможностью могут и начинающие пользователи. Особенно рекомендуются эти знания родителям, которые желают знать, чем занимается их ребёнок на компьютере.

Способы просмотра истории

Чтобы посмотреть последние действия на компьютере, как раз для этого существуют не только стандартные способы просмотра истории компьютера средствами самой операционной системы, но и специальные — с расширенными возможностями, реализуемые дополнительными программами. Основными способами изучения истории компьютера являются просмотры:

• истории браузера;
• истории работы в интернете, с использованием сервиса от Google;
• объектов «Недавние документы», «Корзина», «Загрузки»;
• атрибутов файла: даты изменения и даты открытия;
• встроенного приложения операционной системы «Журнал Windows».

Для детального анализа работы компьютера используют сторонние программы, имеющие широкие возможности отслеживания действий пользователя.

Посещение страниц в интернете

Отвечая на вопрос, как посмотреть, куда заходили с компьютера, следует отметить, что для этого анализируют историю работы в интернете. Делают это следующим образом:

Недавние документы, Корзина и Загрузки

Рекомендуется проверить объекты «Недавние документы», «Корзины», «Загрузки», содержание которых иногда преподносит сюрпризы. Для отображения списка «Недавние документы» в Windows 7 необходимо произвести настройку системы:

• Щёлкают правой кнопкой мыши по меню «Пуск» и в контекстном меню выбирают пункт «Свойства».
• В появившемся диалоговом окне «Свойства панели задач и меню «Пуск» выбирают вкладку «Меню Пуск».
• Выбирают кнопку «Настроить», и в открывшемся диалоговом окне ставят галочку напротив пункта меню «Недавние документы».

После проделанных действий в меню «Пуск» появится вкладка «Недавние документы», содержащая список из недавно используемых документов.

Содержателен анализ удалённых файлов, находящихся в «Корзине». Иногда пользователи забывают очищать корзину после работы.

Пользователи смотрят папку «Загрузка», в которую по умолчанию сохраняются скачиваемые файлы. Для просмотра списка загружаемых файлов в браузере нажимают Ctrl + J.

Просмотр атрибутов файла

Интересно узнать, как посмотреть историю на компьютере Windows 7, 8, 10, используя новый атрибут файла, показывающий дату последнего открытия документа. Для просмотра нажимают правой кнопкой мыши по файлу и в открывшемся меню выбирают пункт «Свойства», где даны сведения о создании, изменении и дате последнего открытия документа.

Используя сервис «Поиск» (Win + F) с атрибутом «Дата изменения», ищут все файлы, изменённые за заданную дату:

• Пользователи открывают программу для просмотра файлов «Мой компьютер» или кратко «Компьютер».
• В правом верхнем углу находят текстовое поле «Найти», щёлкают по нему мышкой и в появившемся меню выбирают поиск по «Дате изменения».
• Предлагается поиск как по конкретной дате, так и по диапазону: неделя, за месяц, год.
• Предлагается поиск по размеру файла.

Например, чтобы просмотреть недавно просмотренные фильмы на этом компьютере, нужно:

• В окне поиска установить параметр размера файла: «Гигантские» (больше 128 Мб). В результате будут найдены все «Гигантские» файлы на этом компьютере, среди них будут почти все фильмы.
• Щёлкнуть правой кнопкой мыши по файлам, открывая меню, содержащие сведения даты последнего открытия.
• Если фильмов очень много, то в окне поиска изменить вид просмотра файлов на «Таблица».
• Щёлкая правой кнопки мыши по шапке таблицы, открыть меню, где выбрать дополнительный столбец таблицы: «Дата использования» или «Дата открытия».
• Щёлкнуть по заголовку только что созданного столбца, тем самым упорядочивая файлы по дате просмотра.

Cобытия в журнале Windows

Система Windows ведёт журнал для хранения системных сообщений: о включении и выключении компьютера, ошибок программ, системных событий, о проблемах безопасности. Используя этот журнал, с точностью до секунды можно узнать время включения и выключения компьютера.

Открытие «Журнала событий» Windows осуществляется несколькими способами:

• Нажимают комбинацию клавиш Win + R и в открывшемся окне вводят название программы на английском: Eventvwr. Откроется окно «Просмотр событий».
• Открывают меню «Пуск» и в окне «Найти программы и файлы» вводят текст: «Просмотр событий». Будет найдена одноимённая программа, при открытии которой откроется окно «Просмотра событий».

Для просмотра времени работы компьютера необходимо:

• В открытом окне «Просмотра событий» выбрать пункт «Журнал Windows», откроется таблица данных событий Windows.
• В данной таблице в столбце «Источник» найти источники EventLog. В этих событиях найти сведения о включении и выключении ПК.

Помощь сторонних программ

Для расширения возможностей слежения за работой компьютера устанавливают специальные программы, одной из лучших является NeoSpY.

NeoSpY позволяет отслеживать:

• нажатие клавиш, что позволяет узнавать пароли;
• экран монитора, посредством скриншотов;
• содержимое буфера обмена, т. е. что было копировано;
• работу в интернете: куда лазили и что открывали;
• работу Skype, ICQ, QIP и других мессенджеров (посредством перехвата трафика);
• копированные на флешку файлы;
• принтер, и какие документы распечатывали;
• новые установленные программы;
• изменения в системных файлах.

Программа NeoSpY может отправлять всю статистику по электронной почте, что делает её ещё более привлекательной.