Иногда бывает такая ситуация, что необходимо узнать, какие программы и из под какого пользователя запускались в ОС Windows.
Сведения о запускавшихся программах находятся в ветке системного реестра Amcache.hve
Расположен он по пути \Windows\AppCompat\Programs\Amcache.hve
Анализировать файл предлагается при помощи утилиты RegRipper.
- Качаем файл реестра Amcache.hve (см. выше);
- Прогоняем rip.exe с указанием плагина “amcache”:
rip -r ..\reg\Amcache.hve -p amcache > amcache.txt
В выходном файле видим путь к исполняемому файлу, время запуска (видимо это именно оно, в UTC) и, что самое вкусное, SHA1-хеш исполняемого файла, что позволяет найти его в базе VirusTotal. Особенно это актуально, если это заранее известный вредоносный файл, который был переименован (например какой-нибудь эксплойт типа mimikatz).
А вот результат поиска по хешу.. Хоть немного понятно, что это такое. А то по пути файла в Amcache вообще ничего нельзя понять.
Кстати, не смотрите, что хеш другой. VirusTotal автоматом пересчитывает под другой алгоритм, а искать может и по SHA1
Вот таким нехитрым образом можно посмотреть.
Если у кого есть желание сказать спасибо за канал или статьи :
Сбер : 4274 3200 2419 9740
Paypal: is.sotnikov@gmail.com
QIWI: KNEYE561
Юmoney ( ЯД ) 410016062893453