Как узнать когда последний раз запускалась программа

Как посмотреть, что делали на компьютере за последнее время?

Каждый пользователь может проследить за действиями на компьютере постороннего лица (либо своими собственными, если требуется вспомнить, какие действия совершались ранее, а также, если необходимо отменить какое-либо действие или внести изменения). Поскольку пользователи ПК оставляют «следы» при работе в ОС Windows, это дает возможность посмотреть, что делали на компьютере за последнее время.

В нашей статье мы расскажем, что для этого требуется сделать.

Проверьте историю браузеров, чтобы узнать, что делали на компьютере за последнее время

Первым делом – стоит проверить историю интернет-обозревателя, именно здесь сохраняются адреса посещенных сайтов. В журналах браузера сохраняются все входы в социальные сети, учетные записи сервисов, сайтов.

Для просмотра истории браузера Google Chrome, необходимо открыть интернет обозреватель и нажать на клавиши Ctrl-H, или в поисковой строке внести «chrome://history/», еще одним из вариантов является нажатие в правом верхнем углу иконки в виде трех точек, а затем в меню выбрать пункт «история». Смотрите результат по рисунку.

Проверьте, что искали в Google

Все действия на сервисах и приложениях собираются Google в историю, находящуюся в специальном разделе «мои действия», которую пользователь имеет возможность проверить, удалить и даже поставить запрет на сохранение любой информации.

В истории, хранящейся в Google, вы всегда можете найти данные о посещенных сайтах, запрашиваемых поисковые запросах, а также о приложениях, которые были открыты.

История действий и веб-поиска Google

Если вы подозреваете, что возможно происходило несанкционированное использование вашего компьютера под вашей учетной записью, то узнать, какая информация просмотрена (например, какие запросы вносились в поиск) всегда можно, зайдя в специальный раздел, который называется «отслеживание действий».

Проверьте Корзину

Если, имея доступ к вашему компьютеру, посторонний человек удалил информацию, то она автоматически попадает в Корзину. В Корзине можно найти удаленные файлы (правда, лишь в том случае, если посторонний человек эту Корзину не «почистил», то есть не удалил из нее все содержимое). Другой вариант, при котором корзина будет пуста – если удалять мимо нее. Например, нажав сочетание клавиш Shift+Del.

Как проверить Корзину Windows

Откройте Корзину и кликните на заголовок файла – так вы узнаете дату удаления (вы можете отсортировать все файлы и папки с указанием интересующего вас времени). Если же Корзина была очищена, то необходимо очень быстро ознакомиться с темой восстановления файлов.

Отследите недавно измененные файлы

Чтобы выяснить все о произошедших изменениях, необходимо открыть пункт «Недавние файлы», под кнопкой пуск (функция отсутствует на Windows 8), здесь нажмите кнопки Win+R, в открывшемся окне напишите «recent», а затем нажмите Enter.

Если корзина очищена не вами, то понятно, что это сделал кто-то другой. В данном случае есть выход: откройте проводник и найдите на диске недавно измененные файлы.

Изучите папку «Загрузки»

Изучить и проверить необходимо не только Корзину, но и папку Загрузки. В ней сохраняются все последние скачанные данные.

Перейдите в пункт «дата загрузки» и просмотрите все скачанные данные и файлы, а также подозрительные программы.

Найдите программы, которые запускались в ваше отсутствие

В поле «дата открытия» посмотрите на дату, когда был открыт файл или запущена программа.

Найти стороннюю программу, приложения, то есть все что было запущено в ваше отсутствие, можно таким способом: зайдите в поиск и запустите проводник, в папке «C:\Program Files\» введите в поиске свой запрос «*.exe» и нажмите Enter. Перед вами откроется папка со списком открытых файлов. Правой кнопкой мышки жмите колонке из списка в меню под названием «Сортировка», а затем нажмите «Подробнее».

Поставьте галочку в меню напротив «Даты доступа» и нажмите ОК, таким образом вы сможете просмотреть время несанкционированного доступа к вашему ПК.

Если вы являетесь пользователем 64-разрядной версии Windows, то найдите проводник и откройте папку «C:\Program Files (x86)\», затем выполните действия описанные, выше. Необходимо знать, что при запуске приложений, запущенных вами, в свойствах будет отражаться только ваша дата запуска, а дату более раннего запуска этого приложения уже не будет возможности определить и проследить.

Проанализируйте файлы журналов

Исследуя файлы журналов, можно найти много информации (причин возникновения ошибок, внезапных перезагрузок и информацию о любых действиях пользователя).

Главное, чтобы была установлена официальная версия Windows.

Расскажем, как работать с журналами событий Windows.

Первым делом вам следует открыть «Панель управления» (Control Panel), затем поочередно открывать разделы «Администрирование» и «Управление». После чего в левой навигационной панели нужно выбрать «Просмотр событий», здесь находится «Журнал событий», он включает журналы безопасности, установку приложений и т.д.

Откройте «Журнал безопасности» и проверьте всю информацию о входе в систему. Вход постороннего человека в систему можно отследить так: он будет находиться между вашим последним выходом из системы и входом, который вы совершили в настоящее время.

Для выявления постороннего входа важен «Журнал приложений», который следует открыть и проверить все запущенные не вами приложения, ориентируясь на их время запуска.

Отфильтровав и проанализировав эти журналы, каждый пользователь сможет узнать о несанкционированном входе компьютер, о сторонних программах и приложениях, установленных на нем.

Как посмотреть, что делали на компьютере с помощью программы LanAgent

Для тех, кто не хочет потратить уйму времени на проверку различных журналов, мы предлагает более удобный способ узнать, что делали на компьютере за последнее время.

Для этого вам можно воспользоваться программой LanAgent .

Данная программа и программы, и сайты, и поисковые запросы с переписками зафиксирует, а также сделает копирование файлов с компьютера и скриншоты экрана.

Подробнее о LanAgent

Остановимся подробнее на возможностях программы LanAgent.

Установите сервис на свой компьютер, и вы всегда будете видеть полную картину всех действий, производимых за ПК.

Все данные о действиях за компьютером предоставляются в форме отчетов. Хотите знать в какое время посторонний человек запускал работу вашего ПК, сколько времени он в целом провел за компьютером, какие запросы искал в поисковых системах, какие файлы скачивал – все это и многое другое вы узнаете с помощью ЛанАгент.

— Мониторинг даст полное видение общей картины того, чем занимались сотрудники, работающие на удаленке, в течение рабочего времени. Сервис покажет, какие приложения были открыты, какие сайты посещались.

— Узнайте с помощью кейлоггера, какие клавиши на клавиатуре нажимались

Все, что писал в виде текста посторонний человек, а также любые иные действия, выполенные с помощью клавиатуры, вы сможете узнать, установив LanAgent.

— Снимайте скриншоты экрана в ваше отсутствие

Хотите видеть, что отображалось на экране вашего компьютера? Сервис предоставит вам эту возможность. Вы можете сами выбрать периодичность снятия скриншотов экрана. Причем человек, сидящий за ПК, не будет знать об этом.

Кроме всего прочего, если на компьютере подключена веб-камера, то программа сделает видеозапись (с аудиозаписью или без нее, как вам нужно).

— Узнайте, что было скопировано за последнее время в буфер обмена

Программа запомнит и обязательно отразит в отчете, какие файлы, тексты и изображения копировались и куда были отправлены.

— Просматривайте экран монитора ПК реальном времени

Данная функция программы даст вам возможность узнать, что в конкретный момент происходит на вашем компьютере. Посторонний человек не будет при этом знать, что все его действия видны вам.

— Перехватывайте сообщения из мессенджеров: WhatsApp, Viber, Telegram, Jabber , а также звонки и сообщения в Skype

Все переписки постороннего лица за вашим компьютером будут отслежены и показаны в специальном отчете.

— Контролируйте электронную почту

Вся переписка в электронной почте будет отслежена (а также все пересылаемые по почте файлы).

Дополнительную информацию о программе (версии, стоимость и т.д.) вы можете узнать на нашем сайте.

Источник фото — сеть Интернет

Вас может заинтересовать:

7 способов узнать, кто и чем занимался на компьютере в ваше отсутствие (+бонус)

Вы вернулись за свое рабочее место и чувствуете, что что-то не так… Монитор стоит под непривычным углом, какие-то крошки на клавиатуре и столе. Вы подозреваете, что кто-то пользовался компьютером в ваше отсутствие? Что же, вполне возможно. Однако доказать вы это не сможете. Или все-таки способ есть? В этой статье я расскажу, как это можно доказать и как поймать с поличным неизвестного.

На самом деле никакая деятельность на компьютере не проходит бесследно. Конечно, если ваш незваный гость не хакер-профессионал. Нет у вас таких знакомых? Тогда начинаем. Начнем с самого простого и постепенно будем углубляться в недра операционной системы.

1. Проверяем историю браузеров

Читайте также:

Для начала проанализируем историю посещения страниц в Интернете. Эта информация может быть добыта из журналов браузеров, который старательно хранит список всех посещенных сайтов.

Например, в браузере Google Chrome это делается так. Напишите в строке адреса «chrome://history/» или нажмите сочетание Ctrl-H. Результат представлен на рисунке.

Читайте также:

1. 10 распространенных ошибок неопытных пользователей Windows
2. 2 способа восстановить удаленные файлы в Windows без сторонних утилит
3. 5 мифов и правдивых высказываний про Windows 10
4. Почему не нужно очищать Корзину Windows
5. Как легко выжить без стороннего антивируса на компьютере

2. Проверяем, что искали в Google

Смотрите также

Компания Google очень аккуратно собирает всю историю ваших действий во всех его сервисах и приложениях. И вы, как владелец этих персональных данных, можете проверить всю свою историю в любой момент. Собственно, как и удалить ее, или даже запретить Google сохранять все эти данные.

Среди всей хранимой в Google информации можно найти как поисковые запросы и посещенные сайты, так и открываемые приложения на телефонах.

Если кто-то в ваше отсутствие пользовался компьютером и использовал сервисы Google под вашей учетной записью, то вы легко сможете увидеть, что именно просматривалось, куда заходил этот человек, какие поисковые запросы вводил и многое другое.

3. Заглянем в Корзину

Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено. Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного.

Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).

Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.

4. Недавно измененные файлы

В меню под кнопкой «Пуск» Windows (кроме Windows 8) есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.

Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!

Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.

5. Папка «Загрузки»

Не лишним будет заглянуть в папку «Загрузки» и глянуть, было ли что-то скачено в период вашего отсутствия. Если было, то вы увидите это сразу.

Для этого просто отсортируйте данные по дате создания (столбец «Дата», переключившись предварительно на вкладке «Вид» в редим «Таблица».

6. Ищем программы, которые запускались в ваше отсутствие

В последних версиях операционной системы Windows (если не ошибаюсь, что начиная с 7 или даже с Vista) среди атрибутов файла имеется поле «Дата открытия». Соответственно, она означает, когда пользователь совершил на нем двойной клик и запустил его.

Для этого нам необходимо найти все программы. Запускаем Проводник и заходим в папку «C:\Program Files\», в правом верхнем углу в поле для поиска вводим поисковой запрос «*.exe» и жмем Enter.

В списке начнут появляться исполняемые файлы, которые находятся в этой папке.

Нам нужно на вкладке «Вид» переключиться в режим «Таблица». Затем кликнуть по заголовку любого столбца правой кнопкой мышки и в появившемся меню выбрать пункт «Подробнее…».

В появившемся маленьком окошке ищем пункт «Дата доступа», устанавливаем напротив него галочку и жмем ОК.

Остается кликнуть по заголовку столбца «Дата доступа» и найти интересующий период времени, когда предполагаемый неизвестный что-то делал на компьютере.

Для 64-разрядных Windows есть еще одна папка — «C:\Program Files (x86)\». Проделайте там те же действия.

Также не забывайте о папке с играми, если они установлены в другом месте (например, на другом диске). Так стоит проделать те же действия. Ну и, конечно же, если у вас есть еще где-то установленные программы, то стоит заглянуть туда тоже.

Обратите внимание! Если вы с момента включения компьютера запускали какие-либо приложения, то данные о предыдущем запуске будут удалены. Если неизвестный запускал ранее те же приложения, что запустили вы после него, то в свойствах файла этих приложений будет дата вашего запуска. Дату предыдущего запуска узнать будет уже нельзя в данном случае.

7. Анализируем файлы журналов

Журналы Windows содержат довольно много информации о работе пользователей, ходе загрузки операционной системы и ошибках в работе приложений и ядра системы. Вот туда мы и заглянем в первую очередь.

Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management).

Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows». Их несколько: Приложение, Безопасность, Установка, Система.

Журнал безопасности

Нас сейчас больше всего интересует журнал безопасности. Он обязательно содержит информацию о входе в систему всех пользователей. Найдите запись о вашем последнем выходе из системы. А все записи журнала, которые будут расположены между вашим последним выходом и сегодняшним входом — это следы деятельности другого лица.

Журнал приложений

Теперь перейдем к журналу приложений. Он тоже очень важен для нашего маленького расследования. Этот журнал содержит информацию о приложениях, которые были запущены в наше отсутствие. Для подтверждения факта, что не вы эти приложения запускали, ориентируйтесь на время события.

Итак, анализируя два этих журнала, вы точно определите не только сам факт входа под вашим именем в ваше отсутствие, но и определите приложения, которые запускал этот неизвестный.

[Бонус] Ставим ловушку для неизвестного

Вот теперь, имея все доказательства на руках, мы можем предположить, кто использует наш компьютер и поговорить с ним. Но еще лучше взять его с поличным! Для этого можно использовать штатный Планировщик задач Windows.

При создании задачи укажите событие (триггер) «Вход в Windows».

Теперь продумайте, что вы бы хотели сделать, когда без вас кто-то войдет в компьютер. Самый простой вариант — послать самому себе письмо, например, на коммуникатор.

Хотя лично мне больше понравился бы вариант «Запустить программу». А потом бы я скачал какую-нибудь программу-розыгрыш из тех, что переворачивают экран или вызывают его «осыпание». Представьте себе лицо неизвестного в этот момент!

Понравилась статья? Поделитесь!

Читайте также:

1. 10 распространенных ошибок неопытных пользователей Windows
2. 2 способа восстановить удаленные файлы в Windows без сторонних утилит
3. 5 мифов и правдивых высказываний про Windows 10
4. Почему не нужно очищать Корзину Windows
5. Как легко выжить без стороннего антивируса на компьютере

Получаем историю запуска программ в Windows с помощью политик аудита

16.11.2022

itpro

PowerShell, Windows 10, Windows Server 2019, Групповые политики

комментариев 5

В этой статье мы рассмотрим, как с помощью политик аудита Windows можно узнать какие программы запускались на компьютере. Довольно часто от администратора требуют предоставить информацию о том, какие приложения запускает пользователь, когда он запускал приложение в последний раз и т.д. Эту информацию можно собрать из журнала событий Windows и преобразовать в удобный отчет с помощью PowerShell.

Сначала нужно включить политику аудита запуска/остановки процессов в Windows.

Если вы хотите включить политику аудита процессов на компьютерах в домене Active Directory, нужно использовать редактор доменных GPO – gpmc.msc .

Мы показывали, как использовать эти события аудита для поиска источника блокировки учетной записи на компьютере.

Сохраните изменения и обновите локальные политики на клиенте командой: gpupdate /force

Откройте Event Viewer ( eventvwr.msc ) и разверните раздел Windows Logs -> Security. Теперь при запуске любой программы (процесса) в этом журнале событий появляется событие Process Creation с EventID 4688.

A new process has been created.

В информации о событии указан пользователь, запустивший программу ( Creator Subject ), имя исполняемого файла процесса ( New Process Name ) и родительский процесс, из которого было запущено приложение ( Creator Process Name ).

Событие завершения процесса (A process has exited) имеет EventID 4689. Ранее мы показывали как с помощью этих события и триггера планировщика можно выполнить скрипт (действие) при запуске/завершении определённой программы в Windows.

Обратите внимание, что при включении рассмотренной выше политики Audit process tracking в журнал Security начинают сохранятся все события, связанные с процессами. Если вы хотите уменьшить число событий в Event Viewer и сохранять только информацию о событиях запуска, можно отключить данную политику и включить только расширенную политику аудита Audit Process Creation (Windows Settings -> Security Settings -> Advanced Audit Policy Configurations -> System Audit Policy -> Detailed Tracking).

Чтобы в события аудита записывалась информация о параметрах запуска процессов (аргументы, с которыми запускаются программы), включите также параметр GPO Include command line in process creation events в Computer Configuration -> Administrative Templates -> System -> Audit Process Creation.

После включения этой политики в аргументе Process Command Line видно, с каким аргументом запускался тот или иной процесс.

Не забудьте увеличить размер журнала Security со стандартных 20 Мб. Это позволит хранить история запуска приложения за более длительный период. Для этого откройте свойства журнала Security и увеличьте значение параметра Maximum log size.

Для анализа программ, запущенных пользователем можно использовать фильтры Event Viewer. Но это не очень удобно. Ниже я покажу несколько PowerShell скриптов который позволят вам получить удобные списки событий с историей запуска приложений пользователями. Для получения событий из журнала Event Viewer мы будем использовать команду Get-WinEvent:

$processhistory = @()
$today = get-date -DisplayHint date -UFormat %Y-%m-%d
$events=Get-WinEvent -FilterHashtable @LogName = ‘Security’
starttime=»$today»
ID = 4688
>
foreach ($event in $events)$proc = New-Object PSObject -Property @ProcessName=$event.Properties[5].Value
Time=$event.TimeCreated

CommandLine=$event.Properties[8].Value
User=$event.Properties[1].Value
ParentProcess=$event.Properties[13].Value
>
$processhistory += $proc
>
$processhistory| Out-GridView

Данный PowerShell скрипт выберет все события запуска программ за сегодняшний день и выведет список процессов, времени запуска и пользователях в графическую таблицу Out-GridView.

Полученный массив объектов можно использовать для выполнения различных запросов.

• Найти всех пользователей, которые запускали определённое приложение: $proc_name=”notepad++.exe”
  $processhistory | where-object |out-gridview
• Вывести список программ, которые запускал сегодня определенный пользователь:
  $username=»aivanov»
  $processhistory | where-object |out-gridview

Такие скрипты часто используем для анализа запуска программ пользователей на серверах RDS фермы.

Также история запуска программ в Windows ведется в файле %SystemRoot%\AppCompat\Programs\Amcache.hve. Файл заблокирован Windows и прочитать его можно только, загрузившись с LiveCD или загрузочного/установочного диска. В файле есть метки запуска, установки/удаления программы, контрольные суммы исполняемого файла (SHA1). Для преобразования этого бинарного файла в текстовый формат нужно использовать сторонние утилиты (например, regripper).

Также напоминаю, что PowerShell также ведет собственную историю запущенных команд.

Предыдущая статья Следующая статья

с помощью чего можно узнать дату последнего запуска программ на компе

В панели управления — установка\удаление программ хранит данные последненго вызова. Стань на нужную программу.

Остальные ответы

Скачай с google.ru программу Эверест. Устонови иё, и она тебе покажит всё что косаетса твоего компа. Покажит всё твое железо, все программы тваи, и просто вся и всё покажит. В google.ru так и напиши СКАЧАТЬ БЕСПЛАТНО ПРОГРАММУ ЭВЕРЕСТ. Будиш доволен. Удачи.

internet Explorer вкладка истории покажет все запуски программ

с помощью мозгов.
посмотри дату создания учу файла .

Правой кнопкой по файлу, свойства, общие. Внизу дата/время создания, изменения, последнего открытия