Home > История запуска программ
Временная шкала программ
19.09.2022
Reset Windows Password v12.1
USB and Recycle Bin history viewers, Windows Hello PIN dumper, update of the DPAPI recovery module
02.09.2022
New blog post
quite a bit about Windows Hello biometrics
23.08.2022
Windows Password Recovery v15.0
A big update of the DPAPI recovery module, support for Windows cloud accounts and much more
19.07.2022
Reset Windows Password v12.0
Windows media forensic tools and improved interface

Articles and video

You may find it helpful to read our articles on Windows security and password recovery examples. Video section contains a number of movies about our programs in action

Reset Windows Password: история запуска программ


Вы, наверное, не удивитесь, но в ОС Windows существует много артефактов, кэширующих информацию об открываемых документах или запускаемых файлах. Один из таких - AMCache, который хранит данные о запускаемых и устанавливаемых программах. AMCache доступен начиная с Windows 7. В более старых операционных системах для хранения данных о запускаемых программах использовался формат BCF. Физически оба формата представляют собой файлы, находящиеся в папке %WINDIR%\appcompat\Programs. AMCache.hve это обычный файл реестра, тогда как RecentFileCache.bcf - простой бинарный файл.

Программа поддерживает оба формата, однако в старом формате BCF не содержатся данные о времени запуска программ.

 

Выбор каталога Windows

История запуска программ - выбор каталога Windows

Выбираем каталог Windows, найденный программой.

 

Список последних открываемых пользователем документов

История запуска программ

Нажимаем кнопку << ПОИСК ФАЙЛОВ >> и ждем пока программа выполнит поиск и анализ файлов.

Список файлов можно отсортировать по дате и сохранить в текстовый или HTML файл.

Красным цветом выделены файлы, ссылки на которые остались, но сами они не обнаружены. Например, были перемещены или удалены.