Иногда бывает такая ситуация, что необходимо узнать, какие программы и из под какого пользователя запускались в ОС Windows. Сведения о запускавшихся программах находятся в ветке системного реестра Amcache.hve Расположен он по пути \Windows\AppCompat\Programs\Amcache.hve Анализировать файл предлагается при помощи утилиты RegRipper. rip -r ..\reg\Amcache.hve -p amcache > amcache.txt В выходном файле видим путь к исполняемому файлу, время запуска (видимо это именно оно, в UTC) и, что самое вкусное, SHA1-хеш исполняемого файла, что позволяет найти его в базе VirusTotal...
Автозапуск программ Windows — это функция, с помощью которой, приложения запускаются каждый раз при включении компьютера. Это удобно, не нужно включать вручную Skype или любое другое приложение. Различные Mail агенты и торренты сами автоматически включаются. Но при небольшом объёме оперативной памяти или невнимательном скачивании из сети программ, эта функция может привести к неприятным моментам. Начнут запускаться вредоносные, пожирающие ресурсы, программы. Чтобы обезопасить себя, необходимо исключить автозапуск нежелательного ПО...