Получить список запускавшихся программ

Бывают ситуации, когда нужно узнать, когда и какие программы запускались на компьютере пользователя. Для этого мы можем проанализировать системный файл Amcache.hve. Это файл реестра в формате REGF, расположенный в каталоге %SystemRoot%\AppCompat\Programs и содержащий информацию о запускаемых в системе приложениях.
Поскольку файл постоянно используется Windows, его нельзя ни открыть напрямую, ни скопировать в другое расположение. Для получения доступа к используемым системой файлам необходимо воспользоваться утилитой WinHex.
Запускаем утилиту с правами администратора и в меню выбираем Tools - Open Disk и указываем системный раздел. После того, как программа создаст снапшот, перейдите в расположение C:\Windows\AppCompat\Programs, кликните по файлу Amcache.hve ПКМ, выберите Recovery/Copy и укажите путь к сохранению файла.
Когда мы скопировали файл, нам необходимо его прочитать. Т.к. это бинарный файл, то для работы с ним нам потребуется утилита RegRipper.
Распакуйте архив с утилитой, откройте от имени администратора командную строку, перейдите в расположение файлов RegRipper, а затем выполните команду rip -r путь-к-файлу-Amcache.hve -p amcache > amcache.txt.
В результате в папке RegRipper будет создан текстовый лог amcache.txt, который можно прочитать любым текстовым редактором.