Reset Windows Password: история запуска программ
Вы, наверное, не удивитесь, но в ОС Windows существует много артефактов, кэширующих информацию об открываемых документах или запускаемых файлах. Один из таких - AMCache, который хранит данные о запускаемых и устанавливаемых программах. AMCache доступен начиная с Windows 7. В более старых операционных системах для хранения данных о запускаемых программах использовался формат BCF. Физически оба формата представляют собой файлы, находящиеся в папке %WINDIR%\appcompat\Programs. AMCache.hve это обычный файл реестра, тогда как RecentFileCache.bcf - простой бинарный файл.
Программа поддерживает оба формата, однако в старом формате BCF не содержатся данные о времени запуска программ.
Выбор каталога Windows
Выбираем каталог Windows, найденный программой.
Список последних открываемых пользователем документов
Нажимаем кнопку << ПОИСК ФАЙЛОВ >> и ждем пока программа выполнит поиск и анализ файлов.
Список файлов можно отсортировать по дате и сохранить в текстовый или HTML файл.
Красным цветом выделены файлы, ссылки на которые остались, но сами они не обнаружены. Например, были перемещены или удалены.