Все запускаемые в Windows программы так или иначе оставляют в системе след, причем касается это не только установленных, но и портативных приложений. Следы запуска программ остаются в виде записей журнала, истории действий, ключей реестра, а также файлов префетчинга.
В действительности в Windows имеется более простое и удобное решение - политики аудита. После активации настройки при каждом запуске исполняемого файла той или иной программы Windows станет автоматически создавать в системном журнале событий информативные записи.
Для этого:
1. Нажмите сочетание «Win+R» и выполните команду «gpedit.msc», чтобы открыть «Редактор локальных групповых политик».
2. В меню слева пройдите по пути «Конфигурация компьютера» → «Конфигурация Windows» → «Параметры безопасности» → «Локальные политики» → «Политика аудита».
3. Откройте параметр «Аудит отслеживания процессов», поставьте галочку «Успех» и примените настройки.
Чтобы читать записи аудита, откройте системный журнал событий клавишами «Win+R» и командой «eventvwr.msc». Пройдите по пути «Журналы Windows» → «Безопасность». События под кодом 4688 будут указывать на запуск процессов. Вы можете использовать «Фильтр текущего журнала», чтобы отсортировать события по этому коду.