Как я могу увидеть, какие программы были запущены пользователем?

Question

Как я могу увидеть, какие программы были запущены пользователем?

Программы и компоненты (или, что еще лучше, MyUninstaller от Nirsoft) сообщают мне об установленной программе, и я могу получить доступ к некоторым кэшированным данным установки, но есть ли способ получить журнал исполняемых файлов, запущенных пользователем?

setup.exe (обычно?) содержит информацию MSI, но я ищу список setup.exe, запущенного пользователем.

Я пытаюсь определить исполняемый файл (имя файла и, в идеале, путь), который был запущен для установки программы, для резервного копирования установщика.

Я создал дату / время (15/05/2015), и с помощью эпического инструмента поиска "Все" (из Void) я могу видеть файлы, к которым обращались в эту дату (используя da:15/05/2015 *.exe), но я я не вижу ничего, что торчит, что заставляет меня думать, что установщики уже уничтожены... есть ли где-нибудь журнал?

например, я вижу несколько огромных инсталляторов, таких как 30475b.msi, в C:\Windows\Installer. Я могу открыть MSI и посмотреть, что в них, я думаю - есть ли какой-нибудь журнал, где записывается корреляция между этими вездесущими MSI-файлами и их возникновение "исполняемого контейнера"?

Интересно (если нет), если какие-либо инструменты поиска могут искать внутри исполняемых файлов для source.msi и т. Д.

1

windows-installer event-log

Источник

Jonny 16 окт '15 в 12:43

1 ответ

Другие вопросы по тегам windows-installer event-log

ElektroStudios 16 окт '15 в 13:38 2015-10-16 13:38 · Answer 1 · 2015-10-16 13:38

Я вижу несколько огромных инсталляторов, таких как 30475b.msi, в C:\Windows\Installer. Я могу открыть.msi и посмотреть, что в них, я думаю - есть ли где-нибудь журнал, который записывает корреляцию между этими вездесущими.msi-файлами и их исходным "контейнером" исполняемый файл"

Да, вы можете отслеживать взаимосвязь между этими файлами MSI, хранящимися в C:\Windows\Installer, путем к каталогу source setup.exe/setup.msi, из которого выполнялась установка, датой установки, целевым путем установки и дополнительной информацией.,

Перейдите к разделу реестра [HKCU|HKLM]\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\{YOUR USER SID}\Products и там вы найдете соответствующую информацию для каждого установленного пакета MSI.

Вот пример изображения:

Также вы можете найти информацию в этих других разделах реестра:

[HKCU | HKLM] \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall
[HKCU | HKLM] \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall
[HKCU | HKLM] \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows \ CurrentVersion \ Uninstall

(обратите внимание только на ключи с GUID в качестве имени)

Как я могу увидеть, какие программы были запущены пользователем?

Например, с использованием стороннего приложения, которое информирует вас об общей активности компьютера, например LastActivityView от Nirsoft.

http://www.nirsoft.net/utils/computer_activity_view.html

Это бесплатно.