Как посмотреть историю установки приложений windows

кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows

Обновлено 20.04.2020

удалить

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.

Как узнать кто установил программу и когда

И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.

Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,

кто установил программу в Windows, событие 1040

первое это событие с ID 1040 покажет вам начало установки программы:

Событие ID 1040: Начало транзакции установщика Windows: C:UsersАдминистратор.ROOTDesktopLogParser.msi. ИД клиентского процесса: 3076.

Событие ID 1040: Начало транзакции установщика Windows

Далее идет сообщение с кодом ID 10000.

Запуск сеанса 0 — ‎2020‎-‎04‎-‎09T14:38:53.211497000Z. 

кто установил программу в Windows, событие 10000

Далее вы увидите событие, где заканчивается установка программы ID 1042

 Окончание транзакции установщика Windows: C:UsersАдминистратор.ROOTDesktopLogParser.msi. ИД клиентского процесса: 3076.

кто установил программу в Windows, событие 1042

Завершается сеанс событием с кодом ID 10001

 Завершение сеанса 0, запущенного ‎2020‎-‎04‎-‎09T14:38:53.211497000Z.

кто установил программу в Windows, событие 10001

И заканчивается установка программы событием с кодом ID 11707

заканчивается установка программы событием с кодом ID 11707

Иногда вы можете увидеть событие с ID 1033.

Установщик Windows выполнил установку продукта. Продукт: Log Parser 2.2. Версия: 2.2.10. Язык: 1033. Изготовитель: Microsoft Corporation. Установка завершена с состоянием: 0. 

событие с ID 1033

Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»

Фильтрация журнала приложение в Windows

В источниках событий выберите из выпадающего списка пункт MsiInstaller.

Как определить событие установки программы в Windows

В итоге у меня получилось вот так.

Как вычислить кто инсталлировал программу на компьютере

Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOTАдминистратор.

Так, что в журнале «Приложение (Application)» советую искать ID 1033 и ID 11707

Причина, по которой мой пользователь показывает SYSTEM, заключается в том, что я являюсь единственным пользователем системы и не создал независимых учетных записей пользователей при установке Windows 10.

Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM

Список событий из источника MsiInstaller

Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.

ID 11707 в Windows Admin Center

Автоматизация оповещения по событиям 11707

Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.

Тут главное заполнить:

  • Адрес вашего SMTP сервера
  • От кого будет письмо
  • Кому отправлять письмо
  • Пароль от ящика отправителя

$Subject = «Установлено новое ПО» # Тема сообщения
$Server = «smtp.pyatilistnik.org» # Тут пишем ваш SMTP Server
$From = “install@pyatilistnik.org” # От кого будет отослано письмо
$To = «ivan@pyatilistnik.org» # Кому отправляется письмо
$Pwd = ConvertTo-SecureString «123456» -AsPlainText -Force #Пароль учетной записи отправителя
# (Внимание! Используйте очень ограниченную учетную запись для отправителя, поскольку пароль, сохраненный в скрипте, не будет зашифрован)
$Cred = New-Object System.Management.Automation.PSCredential(«From@domain.com» , $Pwd) #Sender account credentials
$encoding = [System.Text.Encoding]::UTF8 #Установка кодировки в UTF8 для корректного отображения сообщения
#Команда Powershell для фильтрации журнала безопасности об установленном программном событии
$Body=Get-WinEvent -FilterHashtable @{LogName=»Application»;ID=11707;ProviderName=’MsiInstaller’} | Select TimeCreated, Message, UserID | select-object -first 1
#Отправка электронной почты.
Send-MailMessage -From $From -To $To -SmtpServer $Server -Body “$Body” -Subject $Subject -Credential $Cred -Encoding $encoding

В результате вы получите письмо вот такого содержания:

@{TimeCreated=04/10/2020 15:40:11; Message=Product: Log Parser 2.2 — Installation completed successfully.; UserId=S-1-5-21-4284852150-1823218374-53464103-500}

Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.

Оповещение по эл. почте об установке программы

Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:

Get-WinEvent -FilterHashtable @{LogName=»Application»;ID=11707;ProviderName=’MsiInstaller’} | Select TimeCreated, Message, UserID | select-object -first 1

Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.

Как узнать через PowerShell кто установил программу

Как найти события установки программ не методом MsiInstaller

Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.

Как найти события установки программ не методом MsiInstaller

Выглядит событие ID 7045 вот так:

В системе установлена служба.

Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Кто установил Mozilla событие ID 7045

Событие ID 7045: В системе установлена служба.

Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeApplication80.0.361.111elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Кто установил Edge событие ID 7045

Событие ID 7045: В системе установлена служба. Имя службы: Служба «Обновление Microsoft Edge» (edgeupdatem)
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeUpdateMicrosoftEdgeUpdate.exe» /medsvc
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Как узнать кто установил программу на компьютере

Как узнать кто удалил программу с сервера или компьютера

По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.

Событие с кодом ID 11724: Product: Log Parser 2.2 — Removal completed successfully.

Как узнать кто удалил программу с сервера. ID 11 724

Событие с кодом ID 1033: Установщик Windows выполнил удаление продукта. Продукт: Log Parser 2.2. Версия: 2.2.10. Язык: 1033. Изготовитель: Microsoft Corporation. Удаление завершено с состоянием: 0.

Как узнать кто удалил программу с компьютера. ID 1033

Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.

Дополнительно

Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.

  • https://social.technet.microsoft.com/wiki/contents/articles/32412.powershell-how-to-detect-who-installed-what-software-on-your-windows-server-in-real-time.aspx
  • https://www.netwrix.com/how_to_detect_software_installations.html

На этом у меня все, мы с вами подробно все рассмотрели по данной задаче. Если у вас остались вопросы, то пишите их в комментариях, а с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Защита информации на своем персональном компьютере — всегда важный вопрос для каждого пользователя. Проверить историю посещений браузера — простая задача, с которой справятся практически все, кто имеет малый опыт работы с ними. А то, как посмотреть историю посещения компьютера — уже более сложный вопрос.

К тому же необходимость проверить историю запуска и посещений может возникнуть при покупке или продаже компьютера незнакомым людям. Или же при передаче устройства в ремонт.

Встроенный инструмент

Поиск программы

Операционная система Microsoft Windows обладает собственным набором трекеров, позволяющих отследить, какие изменения происходили с устройством, какие программы были запущены и какие ошибки в работе произошли. Это лишь один из способов того, как посмотреть историю на компьютере. Итак, непосредственно к инструменту. Он носит название «Журнал событий». На старых версиях операционной системы необходимо сделать следующее:

  • перейти в меню «Пуск»;
  • активировать панель управления компьютером;
  • перед тем как посмотреть историю на компьютере, в левой части экрана найти строку под названием «Журнал Windows»;
  • в открывшемся списке необходимо выбрать интересующий раздел;

Для того чтобы посмотреть историю запуска программ на Windows 10, нужно сделать следующее:

  • запустить функцию «Поиск Windows»;
  • ввести фразу «Управление компьютером»;
  • в левой части открывшегося окна активировать строку под названием «Просмотр событий»;
  • далее можно приступать к работе с функциями «Журналы Windows» и «Журналы приложений и служб».

Итак, мы разобрались с тем, где посмотреть историю на компьютере. Теперь стоит проверить список запускавшихся программ.

Проверка запуска приложений

Журналы Windows

Данная функция дает возможность проверить, какие приложения были запущены на компьютере, в какое время это произошло, а также какие ошибки возникли при работе. Чтобы проверить эту информацию, необходимо выполнить следующий алгоритм:

  • в уже запущенном окне «Управление компьютером» выбрать строку «Журналы Windows»;
  • после нажатия на нее откроется список, из него выбирается пункт под названием «Приложение»;
  • после его активации с правой стороны окна появится еще один список с различными сведениями (он сообщает о том, какие приложения запускались на данном устройстве, в какое время это произошло и какие ошибки при этом возникали).

Теперь можно поговорить о том, как посмотреть на компьютере историю появления новых приложений.

История установок

Проверка установок

Для того чтобы проверить, что и когда из программ появилось на вашем устройстве, необходимо выполнить следующие действия:

  • запустить окно «Управление компьютером»;
  • активировать строку «Журналы Windows»;
  • из появившегося списка выбрать функцию «Установка». Появится перечень данных, отображающих приложения, установленные за последние несколько месяцев.

Стоит отметить, что данная система не слишком точна. В качестве примера приведена история: «06.05.2018 была установлена программа. Однако последняя дата установки за 13.04.2018».

Как посмотреть на компьютере историю включения и выключения

Проверка истории запусков компьютера

Данная возможность позволяет проверить, кто пользовался устройством в отсутствие хозяина. Если компьютер находится под защитой пароля, можно проверить, сколько раз кто-либо пытался попасть в систему.

Проверить данную информацию можно при помощи того же самого алгоритма:

  • с помощью «Поиска Windows» на панели задач перейти в программу «Управление компьютером»;
  • в открывшемся окне выбрать пункт «Журналы Windows»;
  • в этом случае необходимо обратиться к строке «Система»;
  • после ее активации откроется перечень событий, произошедших за время работы компьютера.

Чтобы проверить все в прямом порядке, необходимо отсортировать информацию по дате. Далее можно просто проверять информацию по времени, которое вас интересует.

Как проверить дату изменения файла?

Для того чтобы выяснить, происходило ли что-нибудь с устройством в ваше отсутствие, можно проверить состояние файлов. Точнее — дату их изменения. Делается это так:

  • перейти в директорию искомого файла;
  • правой кнопкой мыши нажать на ярлык приложения, и в появившемся списке выбрать пункт «Свойства»;
  • в новом окне пролистать вниз до строк «Создан» и «Изменен».

Вот и все действия.

Чтобы получить к нему доступ, запустите средство просмотра событий и откройте раздел Журналы Windows, подраздел Приложение. Отсортируйте список по столбцу «Источник», затем прокрутите и просмотрите информационные события, создаваемые «MsiInstaller».

Как вы просматриваете свою историю удалений?

Откройте приложение Google Play на своем телефоне или планшете Android и нажмите кнопку меню (три строки, которые отображаются в верхнем левом углу). Когда откроется меню, нажмите «Мои приложения и игры». Следующий, нажмите на кнопку «Все», и все: вы сможете проверить все свои приложения и игры, как удаленные, так и установленные.

Как посмотреть список удаленных программ?

В средстве просмотра событий разверните Журналы Windows и выберите Приложение. Щелкните правой кнопкой мыши «Приложение» и выберите «Фильтровать текущий журнал». В новом диалоговом окне для раскрывающегося списка Источники событий выберите MsiInstaller. Одно из событий должно выявить пользователя, который удалил приложение.

Как восстановить удаленные программы?

Нажмите Пуск, введите восстановление системы в поле «Начать поиск», а затем щелкните «Восстановление системы» в списке «Программы». Если вам будет предложено ввести пароль администратора или подтверждение, введите свой пароль или нажмите «Продолжить». В диалоговом окне «Восстановление системы» нажмите «Выбрать другую точку восстановления», а затем нажмите «Далее».

Как мне найти историю установки моего программного обеспечения?

Просмотр недавно установленных программ и приложений в меню Пуск

  1. Шаг 1. Откройте меню «Пуск», нажав кнопку «Пуск» на панели задач или нажав клавишу с логотипом Windows на клавиатуре.
  2. Шаг 2. Вы можете найти недавно установленные программы и приложения в списке «Недавно добавленные».

Чтобы получить доступ к вкладке истории приложений, вам сначала нужно запустить диспетчер задач. Мы обнаружили, что проще всего использовать сочетание клавиш «Ctrl + Shift + Esc». » Если у вас не было доступа к этому инструменту в Windows 10 раньше, он открывается в так называемом компактном представлении со списком приложений, запущенных в данный момент на вашем устройстве.

Могу ли я переустановить программу, которую я только что удалил?

Правильный способ переустановки программного обеспечения: чтобы полностью удалить его, а затем переустановить из самого обновленного источника установки ты можешь найти. … Если вы не уверены, какая версия Windows установлена ​​на вашем компьютере, возможно, вы не сможете повторно загрузить правильную версию своего программного обеспечения.

Восстановит ли Восстановление системы удаленные программы?

Восстановление системы может вернуть вашу операционную систему к состоянию до того, как программа была удалена.. При удалении программы она удаляется с вашего компьютера, но с помощью функции восстановления системы Windows это действие можно отменить.

Удаляет ли ее удаление программы?

Ни при каких обстоятельствах вы не должны просто удалять программную папку приложения, чтобы удалить его., потому что это может привести к появлению большого количества файлов и записей в системе, что может поставить под угрозу стабильность системы. … Windows затем перечисляет все программы, которые были установлены с помощью установщика Windows.

Как переустановить удаленное мной приложение и перезагрузить компьютер?

Как переустановить отсутствующие приложения в Windows 10

  1. Открыть настройки.
  2. Нажмите на приложения.
  3. Щелкните Приложения и функции.
  4. Выберите приложение, в котором возникла проблема.
  5. Щелкните кнопку Удалить.
  6. Нажмите кнопку «Удалить» для подтверждения.
  7. Откройте Магазин.
  8. Найдите приложение, которое вы только что удалили.

Где в Windows 7 найти недавно удаленные программы?

Нажмите «Пуск» (), «Все программы», «Диспетчер восстановления», а затем снова «Диспетчер восстановления». В разделе Мне срочно нужна помощь щелкните Программное обеспечение Переустановка программы. На экране приветствия переустановки программного обеспечения нажмите кнопку Далее. Найдите в списке программ, установленных на заводе, программу, которую вы хотите переустановить.

# 1: Нажмите «Ctrl + Alt + Delete» а затем выберите «Диспетчер задач». Или вы можете нажать «Ctrl + Shift + Esc», чтобы напрямую открыть диспетчер задач. №2: Чтобы увидеть список процессов, запущенных на вашем компьютере, щелкните «процессы». Прокрутите вниз, чтобы просмотреть список скрытых и видимых программ.

Ниже мы разберем основные методы просмотра последних событий на компьютере, а также расскажем про следы, которые оставляет после себя каждый пользователь Windows.


Как посмотреть последние действия пользователя на Windows ПК?

Содержание

  1. История браузера
  2. Просмотр измененных файлов
  3. Поиск удаленных данных в корзине
  4. Просмотр папки «Загрузки»
  5. Просмотр последних установленных программ
  6. Поиск последних запущенных программ
  7. Дополнительные методы выявления последних действий
  8. Что делать если в ходе несанкционированного доступа были удалены важные данные?

Операционная система Windows и многие программы, работающие в ней, оставляют после себя множество следов, при помощи которых можно определить, что происходило с компьютером во время отсутствия пользователя. Данное руководство поможет выявить куда заходили, что смотрели, какие программы запускались и какие файлы изменялись при несанкционированном доступе к Вашей системе.

Просмотр последних действий является комплексной мерой, требующей поочередной проверки отдельных элементов системы и программного обеспечения, где могли остаться следы после доступа к ПК третьих лиц.

История браузера

Первым делом следует проверить историю Вашего интернет-обозревателя, где всегда сохраняются адреса сайтов, на которые был совершен переход с браузера.

История браузера должна проверяться первым делом, поскольку с его помощью можно получить данные для входа в социальные сети, банковские аккаунты, учетные записи онлайн-сервисов цифровой дистрибуции (к примеру, Steam, Origin, Epic Games Store и т.д.) и другие сервисы, откуда злоумышленники могут получить данные платежных карт и другую материальную выгоду.

Чтобы просмотреть историю браузера Google Chrome, достаточно открыть интернет-обозреватель и нажать комбинацию клавиш Ctrl+H, либо ввести в поисковую строку путь «chrome://history/» или нажать по иконке трех точек в правом верхнем углу и в открывшемся меню выбрать пункт «История».

Как посмотреть последние действия пользователя на Windows ПК

В открывшемся окне можно просмотреть дату, время и посещенные ресурсы, по которым можно определить, что искали третьи лица при несанкционированном доступе к ПК.

Как посмотреть последние действия пользователя на Windows ПК

Если Вы обнаружили, что история браузера была очищена, хотя Вы этого не делали, это означает, что во время несанкционированного доступа кто-то пытался скрыть следы работы за компьютером.

В таком случае следует воспользоваться нашим руководством «Как восстановить историю браузера после очистки», где можно узнать про восстановление и просмотр истории во всех популярных браузерах.

Помимо истории, браузер Google сохраняет многие действия, совершенные в сети с компьютера, в специальном разделе «Мои действия», где можно более детально просмотреть вводившиеся поисковые запросы, просмотренные видеоролики на YouTube и другую информацию.

Для перехода в меню «Мои действия», достаточно скопировать и вставить в адресную строку ссылку https://myaccount.google.com/activitycontrols, после чего выбрать требуемый пункт (к примеру, выберем пункт «История приложений и веб-поиска», но также здесь можно просмотреть историю местоположений, история просмотров и поисков YouTube, данные с синхронизированных устройств и т.д.) и нажать по кнопке «Управление историей».

Как посмотреть последние действия пользователя на Windows ПК

В открывшемся окне можно детально ознакомиться со всеми действиями, просмотрами и введенными поисковыми запросами, которые были совершены в ближайшее время.

Просмотр измененных файлов

Ознакомившись с историей в браузере следует приступить к выявлению действий, которые были совершены непосредственно с компьютером и личной информацией.

Чтобы просмотреть файлы, документы и другие данные, подвергнувшиеся изменению при несанкционированном доступе следует воспользоваться функцией просмотра именных файлов.

Чтобы сделать это необходимо:

Шаг 1. Нажимаем правой кнопкой мыши по «Пуск» и в открывшемся меню выбираем пункт «Выполнить». В строке открывшегося окна вводим команду «recent» и подтверждаем действие «Ок».

Как посмотреть последние действия пользователя на Windows ПК

Шаг 2. В открывшемся окне можно обнаружить последние файлы, фотографии, документы и другие данные с которыми выполнялись какие-либо действия, а также точную дату их изменения.

Как посмотреть последние действия пользователя на Windows ПК

Стоит отметить, что «подкованные» злоумышленники могут удалить все данные из этой папки, но это станет явным следом деятельности третьих лиц с системой и информацией.

Поиск удаленных данных в корзине

Если во время несанкционированного доступа к Вашему компьютеру были удалены какие-либо данные, они могли попасть в корзину, где можно посмотреть время удаления, а также быстро восстановить удаленные файлы.

При стандартных настройках интерфейса Windows, корзина всегда располагается на рабочем столе.

Как посмотреть последние действия пользователя на Windows ПК

Если есть подозрения, что файлы были удалены при несанкционированном доступе, а корзина была очищена, рекомендуем срочно ознакомиться с темой «Как восстановить файлы после удаления в «Корзину» и ее очистки», поскольку если не восстановить данные сразу, в скором времени они могут быть уничтожены из-за перезаписи!

Просмотр папки «Загрузки»

Помимо корзины, обязательно следует посетить папку «Загрузки», поскольку в ней могут содержаться последние данные, скачанные на компьютер из интернета.

Это могут быть и вредоносные программы, и специальные утилиты для слежки, а также другое вредоносное и опасное ПО, способное навредить системе и конфиденциальности пользователя. Проще всего перейти в папку из каталога «Мой компьютер» или «Этот компьютер» в Windows 10.

Как посмотреть последние действия пользователя на Windows ПК

В открывшемся окне следует внимательно проверить скачанные установочные данные и другие подозрительные файлы. В случае обнаружения таких, следует немедленно их удалить, поскольку запуск исполняемых файлов может привести к заражению.

Просмотр последних установленных программ

Во время несанкционированного доступа к Вашему компьютеру, в систему могли быть установлены сторонние программы, майнеры, рекламные приложения и другое нежелательное ПО, поэтому следует проверить список последних установленных программ.

Чтобы сделать это, следует:

Шаг 1. Нажимаем левой кнопкой мыши по иконке «Поиск» (изображение лупы возле кнопки «Пуск») и вводим в строку фразу «Панель управления», после чего переходим в непосредственно сам пункт «Панель управления».

Как посмотреть последние действия пользователя на Windows ПК

Шаг 2. Находясь в панели управления, включаем режим отображения «Категория» и нажимаем по пункту «Удаление программы».

Как посмотреть последние действия пользователя на Windows ПК

Шаг 3. В открывшемся списке нажимаем по графе «Установлено», чтобы выровнять перечень программ по дате установки, после чего внимательно просматриваем все недавно установленные программы на наличие подозрительных.

Как посмотреть последние действия пользователя на Windows ПК

При обнаружении неизвестных утилит, лучшим решением будет их удаление. Это можно сделать при двойном нажатии левой кнопкой мыши в списке. Важно! В данном окне могут отображаться системные программы и утилиты, поэтому следует знать, что нужно удалить, а что лучше оставить.

Поиск последних запущенных программ

Система Windows также позволяет узнать в какое время и какие программы были запущенны, что поможет лучше понять, что происходило во время несанкционированного доступа.

Чтобы воспользоваться поиском последних запущенных программ необходимо:

Шаг 1. Переходим в каталог «Этот компьютер» и в правом верхнем углу вводим в поиск «.exe» — ключ, который позволит найти все исполняемые файлы на компьютере.

Как посмотреть последние действия пользователя на Windows ПК

Шаг 2. Нажимаем правой кнопкой мыши по любому из колонок списка и в открывшемся меню выбираем «Сортировка», после чего «Подробнее».

Как посмотреть последние действия пользователя на Windows ПК

Шаг 3. В открывшемся меню ставим галочку напротив пункта «Дата доступа», что позволит выровнять список по последним запущенным исполнительным файлам программ.

Как посмотреть последние действия пользователя на Windows ПК

Дополнительные методы выявления последних действий

Помимо вышеописанных способов, опытные пользователи смогут воспользоваться просмотром журналов Windows, которые позволяют найти, когда были запущены различные приложения или, когда выполнялся вход и выход из системы.

Стоит отметить, что журнал событий является средством, предназначенным для системных администраторов, поэтому пользователи, не знающие коды конкретных событий, не смогут найти нужную информацию в журналах.

Помимо вышеописанных способов, можно на постоянной основе пользоваться специальными программами для слежения за компьютером (к примеру: NeoSpy, Snitch, Actual Spy и другие). В данном случае, утилиты будут показывать все действия, произведенные с компьютером в удобном меню и в понятной для любого пользователя форме.

Что делать если в ходе несанкционированного доступа были удалены важные данные?

Если Вы обнаружили, что кто-то намеренно удалил важные данные, фотографии, документы или любую другую информацию с компьютера, рекомендуем немедленно воспользоваться специальной утилитой для восстановления информации RS Partition Recovery.

С её помощью можно быстро вернуть данные, которые были удалены комбинацией клавиш Shift+Delete, отформатированы с носителя, удалены вирусным ПО, или уничтожены в ходе изменения логической структуры носителя.

RS Partition Recovery обладает крайне низкими системными требованиями, что позволяет использовать программу даже на ноутбуках и офисных машинах. Помимо этого, утилита для восстановления данных имеет интуитивно-понятный интерфейс, в котором сможет разобраться абсолютно любой пользователь.

Чтобы вернуть утерянные файлы, достаточно провести быстрое или полное сканирование накопителя. Это поможет выявить недавно удаленные файлы или все данные, возможные для восстановления. Чтобы ознакомиться с другими возможностями и преимуществами работы с RS Partition Recovery, рекомендуем посетить официальную страницу программы.

Часто задаваемые вопросы


Чтобы просмотреть историю браузера Google Chrome, достаточно его открыть и нажать комбинацию клавиш Ctrl+H, либо ввести в поисковую строку путь «chrome://history/» или нажать по иконке трех точек в правом верхнем углу и в открывшемся меню выбрать пункт «История».


Да. Могут. Дело в том, что «Корзина» для хранения удаленных файлов использует пространство жесткого диска, а не какой-то изолированный участок памяти. Соответственно, файлы, находящиеся в «Корзине», могут взаимодействовать с другими компонентами операционной системы без особых проблем. Поэтому настоятельно рекомендуется использовать антивирус.


Воспользуйтесь программой RS Partition Recovery. Она позволяет вернуть утерянный файл практически в несколько кликов мышки.


Чтобы проверить какие приложения запускались последними откройте окно «Этот Компьютер» и справа вверху в поле поиска введите .exe Перед вами откроются все исполняемые файлы приложений. Затем отсортируйте результаты по дате доступа. Более подробно вы можете прочесть на нашем сайте


Чтобы проверить какие приложения были установлены последними откройте «Панель Управления», затем раздел «Установка и удаление программ». Перед вами откроется список всех установленных приложений. Отсортируйте их по дате, начиная от самой новой. Таким образом вы сможете узнать, какие программы были установлены последними. Более детально вы можете прочесть на нашем сайте.

Как посмотреть историю компьютера

В наше время информационная безопасность
очень важна. Особенно, она важна на работе. Поэтому следить за тем, что
происходило в Ваше отсутствие, уметь просмотреть историю жизнедеятельности
Вашего персонального компьютера просто необходимо.

Если Вы думаете, что в Ваше отсутствие
посторонний человек копается в Вашей информации, то Вам стоит изучить как
просматривать историю изменений. Кстати, если у Вас дети, то полученную
информацию возможно применить и к ним. Ведь отслеживать чем занимается Ваше
дитя за компьютером пока Вы его не контролируете иногда бывает весьма полезно.

Содержание

  • 1 Как посмотреть историю компьютера, чего делали, куда заходили — 6 способов
    • 1.1 1. Какие программы и приложения запускались
    • 1.2 2. Недавно измененные файлы на компьютере
    • 1.3 3. История посещения сайтов в браузере
    • 1.4 4. Папка загрузки на компьютере
    • 1.5 5. Заглянем в Корзину
    • 1.6 6. Смотрим файл журнала
      • 1.6.1 Журнал безопасности
      • 1.6.2 Журнал приложений

На данный момент существует два варианта
проверки того, что было с ПК. Для одного варианта достаточно лишь компьютера, а
для второго необходим еще и интернет.

Все поисковые системы сохраняют историю действия пользователя в сети. Для того, чтобы просмотреть историю похождений необходимо нажать кнопки CTRL и H. Благодаря этой комбинации клавиш Вы увидите, где происходили путешествия по сети. Если переживаете, что посторонний увидит историю посещений, то знайте, что Вы всегда сможете ее очистить одной кнопкой.

Чтобы просмотреть историю Вам следует зайти в меню «Пуск» и ввести в окошке специальный набор символов msinfo32 и кликом компьютерной мыши запустите программу. Постарайтесь не делать никаких пробелов и написать символы верно, иначе ничего не запустится.

Если Вам хочется посмотреть, что ранее
происходило на Вашей рабочей машине, выберите рубрику выполняемые задачи. И вот
на экране Вам представлен событийный журнал.

1. Какие программы и приложения запускались

Чтобы это узнать нужно будет зайти в «Журналы Windows», а затем зайти в подкатегорию «Приложения». В журналах можно ознакомиться с историей того, что открывалось, когда запускалось и что произошло в связи с этим запуском.

Если Вам необходимо посмотреть, что за приложения открывали с Вашего компа, можете зайти в пункт «Установка». Здесь находятся установки посторонних и системных программ.

Если у Вас Windows 7 и выше, то можно еще выполнить манипуляции описанные ниже.

Во всех файлах существует определенный
признак – дата их открывания. Время определяет когда пользователь запустил
приложение либо файл.

Найти программы, которые были использованы можно! Пройдите в папку «C:Program Files». В строке поиска напишите следующую комбинацию «*.exe» и нажмите клавишу «Enter». Теперь в перечне будут отображаться файлы, содержащиеся в папке.

Далее в пункте «Вид» следует выбрать форму таблицы и надавить по заголовку столбца (безразлично какого) правой кнопкой мышки. В выпрыгнувшем меню разыскиваете вкладку «Подробнее..», затем вкладку «Дата доступа» и нажимаете кнопочку «ОК».

После этих манипуляций следует разложить полученную информацию по дате доступа и выбрать необходимый Вам период времени. Если Ваша система шестидесяти четырех разрядная, то такие манипуляции Вам необходимо будет произвести также с папочкой «C:Program Files (x86)». Вспомните, что если Ваши программы установлены в других местах, то проверить необходимо и те места тоже.

При поиске не забывайте об одной важной
детали: когда Вы начинаете открывать приложения, данные об их предыдущем
запуске автоматически затираются Вашими сведениями о вхождении и теперь
выяснить время предшествующего вхождения невозможно.

2. Недавно измененные файлы на компьютере

Обнаружить файлы с изменениями довольно легко: нажимайте на «Пуск» и выбирайте вкладку «Недавние файлы». Если такой опции нет, то попробуйте надавить совместно клавиши Win+R, а в возникшем окошке напишите «recent», запустив процедуру клавишей Enter. Теперь Вы увидите папку в которой содержится перечень измененных файлов.  Кроме этого дополнительно наведите курсор на офисные программы в панели Пуск и узнаете какие документы открывались последними на этом ПК.  Конечно, если человек, который проникает на Ваш компьютер знаком хоть немного с компьютерной грамотностью, то он постарается замести следы и почистить все хорошенько.  Поэтому, если папка окажется пустой, ищите на Ваших жестких дисках файлы со свежим временем изменений.

3. История посещения сайтов в браузере

Проверка истории посещения сайтов зависит от того каким браузером Вы пользуетесь. Самые распространенные браузеры Google Chrome и Firefox. Итак, рассмотрим, как сделать это в Google Chrome (аналогично Yandex.Browser, Opera):

  • открываем браузер;
  • нажимаем комбинацию букв на клавиатуре CTRL+H;
  • попадаем на страницу с информацией про историю Ваших посещений в браузере.

Если Вы предпочитаете использовать браузер Firefox, то выполняемые действия будут немного отличаться. Потребуется следующее:

  • зайти в браузер;
  • найти и зайти во вкладку «Журнал»;
  • найти и нажать пункт «Показать весь журнал».

После этих манипуляций откроется окошко с
историей Ваших посещений за какой-либо период времени (его можно выбрать).
Теперь Вы сможете изучить информацию о посещении страничек. Конечно, историю
посещений легко подчистить и удалить, с целью заметания следов. Особенно, этим
славятся подростки, историю посещений которых изучают бдительные родители. В
таком случае Вам необходимо будет установить дополнительное приложение, которое
будет складывать информацию о жизнедеятельности в сети. Приложений таких очень
много и как говорится интернет Вам в помощь!

4. Папка загрузки на компьютере

Путь к «Загрузкам» лежит через кнопку «Пуск», которую нужно нажать. В колонке справа находится название «Загрузки». Нажмите на него и просмотрите, что качалось в определенный период времени.

Для этого отсортируйте Ваши загрузки по «Дате изменения», изучайте и делайте соответствующие выводы. Для своего удобства Вы можете выбрать вид отображения «Таблица».

5. Заглянем в Корзину

Для понимания того какие файлы удалены можно
открыть корзину и отсортировать сохраненную в ней информацию по времени
удаления, посмотреть интересующий Вас отрезок времени и проанализировать, что
было уничтожено.

Конечно, если аккуратный нехороший человек
копался в Вашей машине, он наверняка подчистил корзину, но вдруг ему кто-то
помешал, и он не успел? Никогда не пренебрегайте возможностью проверить всю
информацию.

6. Смотрим файл журнала

Для проверки журнала Вашей ОС нужно открыть «Панель управления» и найти функцию «Администрирование». После этого кликнуть на «Управление компьютером» и в навигационной панели найти вкладку «Просмотр событий». Итак, к Вашим услугам будут представлены несколько журналов – «Безопасность», «Установка», «Система» и «Приложение».

Журналы эти имеют массу нужной информации о
жизнедеятельности юзеров, ошибках приложений, загрузках, и прочего.

Журнал безопасности

В этом месте производится фиксация всех событий, чтобы просмотреть этот журнал попробуйте открыть окно просмотра событий и в журнале «Windows» выберите вкладку «Безопасность». Теперь Вы увидите события безопасности. Для того, чтобы узнать дополнительные сведения о каком-либо событии достаточно будет нажать на него и изучить полученную информацию.

Отметим, что этот журнал в обязательном
порядке включает информацию о входе в систему. Если Вы знаете о своих входах в
систему, то Вы всегда сможете идентифицировать время входа постороннего
человека.

Журнал приложений

Включает в себя информацию о том, что за
приложения открывались с Вашей машины. Когда Вы пытаетесь понять, какие
приложения использовались, когда Вас не было в Ваше отсутствие сделайте фильтрацию
по дате в событиях.

Автор - Валерий Москаленко

Маркетолог, вебмастер, блогер с 2011 года. Люблю WordPress, Email маркетинг, Camtasia Studio, партнерские программы)) Создаю сайты и лендинги под ключ НЕДОРОГО. Обучаю созданию и продвижению (SEO) сайтов в поисковых системах. Мои контакты >>>


Чтобы написать эту статью, мы потратили много времени и сил. Мы очень старались и если статья оказалась полезной, пожалуйста оцените наш труд. Нажмите и поделитесь с друзьями в соц. сетях — это будет лучшей благодарностью для нас и мотивацией на будущее!

Содержание

  1. История установки приложений windows
  2. Как узнать кто установил программу и когда
  3. Автоматизация оповещения по событиям 11707
  4. Как найти события установки программ не методом MsiInstaller
  5. Как узнать кто удалил программу с сервера или компьютера
  6. Дополнительно
  7. Системная утилита Windows 8 «История файлов»: как резервировать свои данные без стороннего ПО?
  8. 0. Оглавление:
  9. 1. Зачем нужна «История файлов»?
  10. 2. Запуск «Истории файлов»
  11. 3. Выбор носителя для резервирования
  12. 4. Исключение папок из «Истории файлов»
  13. 5. Дополнительные параметры резервирования
  14. 6. Активация «Истории файлов»
  15. 7. Как восстановить удалённые файлы из их резервных копий
  16. Смотрите также:

История установки приложений windows

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.

Как узнать кто установил программу и когда

И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.

Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,

первое это событие с ID 1040 покажет вам начало установки программы:

Далее идет сообщение с кодом ID 10000.

Далее вы увидите событие, где заканчивается установка программы ID 1042

Завершается сеанс событием с кодом ID 10001

И заканчивается установка программы событием с кодом ID 11707

Иногда вы можете увидеть событие с ID 1033.

Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»

В источниках событий выберите из выпадающего списка пункт MsiInstaller.

В итоге у меня получилось вот так.

Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOTАдминистратор.

Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM

Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.

Автоматизация оповещения по событиям 11707

Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.

Тут главное заполнить:

  • Адрес вашего SMTP сервера
  • От кого будет письмо
  • Кому отправлять письмо
  • Пароль от ящика отправителя

В результате вы получите письмо вот такого содержания:

Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.

Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:

Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.

Как найти события установки программ не методом MsiInstaller

Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.

Выглядит событие ID 7045 вот так:

Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeApplication80.0.361.111elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Как узнать кто удалил программу с сервера или компьютера

По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.

Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.

Дополнительно

Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.

Системная утилита Windows 8 «История файлов»: как резервировать свои данные без стороннего ПО?

Windows 8/8.1 отличается от Windows 7 не только надстройкой в виде Metro-интерфейса и убранным эффектом оформления рабочего стола Aero Glass, но также и некоторыми функциональными фишками, в числе которых — очень полезная штатная утилита «История файлов». О том, для чего нужна данная программа и как ее использовать, и пойдет речь в данной статье.

0. Оглавление:

1. Зачем нужна «История файлов»?

«История файлов» — программный инструмент, внедрённый в Windows 8/8.1, чтобы предотвратить потерю пользовательских данных в случае выхода из строя жёсткого диска или случайного удаления данных самим же пользователем. При активации этой штатной утилиты система будет создавать резервные копии всех файлов, хранящихся в папках пользовательского профиля – это библиотеки с видео, изображениями, музыкой, документами, это папки контактов и избранного, это также файлы, размещённые на рабочем столе. Резервные копии файлов будут создаваться на другом носителе, отличном от жёсткого диска, на котором установлена система — это может быть другой внешний или встроенный жёсткий диск, это может быть флешка, это также может быть сетевая папка.

Таким образом, если пользователь удалит файл, очистит корзину, а затем пожалеет об этом, удалённый файл он сможет восстановить из резервной копии. Более того, механизм «Истории файлов» позволяет восстанавливать файлы из выбора нескольких сохранённых версий. Этот момент наверняка заинтересует пользователей, работающих с созданием и редакцией документов и изображений. Так, даже после сохранения документа можно вернуться к его прежнему содержимому – состоянием на какую-то дату ранее.

Механизм «Истории файлов» позволяет создавать резервные копии документов, хранящихся только в указанных выше папках. Чтобы можно было восстановить файлы, находящиеся в папках, которые расположены в других местах на системном или несистемном разделах диска, эти папки необходимо добавить в одну из существующих библиотек.

По умолчанию «История файлов» отключена, и чтобы воспользоваться возможностями этой утилиты, её необходимо включить, перед этим настроив нужные параметры.

2. Запуск «Истории файлов»

Найти утилиту «История файлов» можно в разделах панели управления Windows 8/8.1.

А, возможно, многим будет проще это сделать с помощью системного поиска. Коснёмся сверху вниз правой части экрана, чтобы появились чудо-кнопки. Выберем «Поиск», введём в поисковое поле начальные буквы ключевого запроса «История файлов» и кликнем на этот раздел, появившийся в результатах.

Откроется окно «Истории файлов».

3. Выбор носителя для резервирования

В центре будет виднеться установленный по умолчанию носитель, куда будут резервироваться данные. Как правило, система автоматически для этих целей определяет внешние устройства – флешки или подключаемые жёсткие диски. Чтобы сменить носитель для создания резервных данных, жмём ссылку «Смена диска».

Все внешние устройства, на которых можно хранить резервные копии данных, будут отображаться в списке. Здесь можно выбрать другой внешний носитель, отличный от предустановленного, или выбрать резервирование данных на папку в сети.

Чтобы выбрать сетевую папку, жмём ссылку «Добавить сетевое расположение» и в проводнике выбираем папку в сети.

Утилита «История файлов» не предусматривает резервирование данных на жёстком диске, где установлена система, нельзя выставить даже несистемный раздел диска. Но Windows 8/8.1 можно обмануть, создав на несистемном разделе виртуальный жёсткий диск. Таковой система определяет как съёмный носитель, на него можно копировать и переносить файлы, как и на обычный раздел диска. И он, естественно, будет виднеться в числе прочих съёмных носителей в списке «Истории файлов».

После выбора носителя для хранения резервных копий жмём «ОК» для возвращения в основное окно «Истории файлов».

4. Исключение папок из «Истории файлов»

Возможно, многие не захотят захламлять пространство съёмного носителя, сетевой папки или виртуального диска резервными копиями всех папок, которые подпадают под действие механизма «Истории файлов». К примеру, системная библиотека включает папку «Видео», где могут находиться довольно увесистые видеофайлы. Настройки «Истории файлов» позволяют исключить некоторые папки из числа резервируемых.

В основном окне «Истории файлов» жмём ссылку «Исключение папок».

Жмём кнопку «Добавить», выбираем папку, данные которой не хотим резервировать, и сохраняем изменения.

5. Дополнительные параметры резервирования

Вернувшись в основное окно «Истории файлов», жмём ссылку «Дополнительные параметры».

Здесь каждый может назначить свои параметры создания резервных копий файлов. Можно установить периодичность резервирования.

Можно сменить предустановленный размер автономного кэша.

Можно также установить свой параметр длительности хранения версий резервных файлов.

Чтобы освободить дисковое пространство и очистить его от старых версий резервных файлов, жмём ссылку «Очистить версии».

После выставления всех параметров жмём кнопку «Сохранить изменения».

6. Активация «Истории файлов»

После того, как все настройки проделаны, осталось только активировать механизм «Истории файлов». В основном меню утилиты жмём кнопку «Включить».

Сразу после этого на указанный в настройках носитель будут записаны резервные данные всех папок (естественно, кроме исключённых).

7. Как восстановить удалённые файлы из их резервных копий

На носителе, который выбран для резервирования данных, будет создана папка «FileHistory». В ней и будут находиться резервные копии файлов в дереве папок. Через проводник Windows или файловый менеджер сможем открыть папки своего пользовательского профиля и отыскать нужные файлы.

К наименованию резервных копий файлов будут добавлены дата и время их сохранения, чтобы можно было выбрать файл из его нескольких версий с различным состоянием.

Другой способ восстановления файлов – через интерфейс «Истории файлов». Жмём ссылку «Восстановления личных файлов» в основном окне «Истории файлов».

Здесь в удобном интерфейсе, пролистывая, можно выбрать дату, состоянием на которую и будут представлены резервные копии файлов. Ищем нужный нам файл в той или иной папке, выбираем его и вызываем контекстное меню, а в меню кликаем один из подходящих вариантов:

  • либо просмотреть файл здесь же, во встроенном просмоторщике;
  • либо восстановить файл из резервной копии на прежнее место, при этом он заменит файл в действующей редакции;
  • либо восстановить файл в какую-то другую папку.

Смотрите также:

По умолчанию поиск в Windows (в данном примере в Windows 7) ищет файлы по имени. Содержимое учитывает только в проиндексированных расположениях. Чтобы поиск искал по содержимому всех документов, нужно изменить…

На нашем сайте уже раннее рассматривался вариант установки изначально русифицированной редакции Windows 8.1. Англоязычные редакции, к примеру, ознакомительная версия Windows 8.1 Корпоративная на сайте Центра пробного ПО от компании Microsoft, дистрибутив…

Иногда в Windows 7 нужно изменить расширение вручную, например, превратить файл “txt” в “bat”. Первое, что приходит на ум, — переименовать (F2). Но оказывается, что расширение «.bat» ты вроде бы…

Где и как посмотреть на компьютере историю запуска и использования программ?

Защита информации на своем персональном компьютере — всегда важный вопрос для каждого пользователя. Проверить историю посещений браузера — простая задача, с которой справятся практически все, кто имеет малый опыт работы с ними. А то, как посмотреть историю посещения компьютера — уже более сложный вопрос.

К тому же необходимость проверить историю запуска и посещений может возникнуть при покупке или продаже компьютера незнакомым людям. Или же при передаче устройства в ремонт.

Встроенный инструмент

Операционная система Microsoft Windows обладает собственным набором трекеров, позволяющих отследить, какие изменения происходили с устройством, какие программы были запущены и какие ошибки в работе произошли. Это лишь один из способов того, как посмотреть историю на компьютере. Итак, непосредственно к инструменту. Он носит название «Журнал событий». На старых версиях операционной системы необходимо сделать следующее:

  • перейти в меню «Пуск»;
  • активировать панель управления компьютером;
  • перед тем как посмотреть историю на компьютере, в левой части экрана найти строку под названием «Журнал Windows»;
  • в открывшемся списке необходимо выбрать интересующий раздел;

Для того чтобы посмотреть историю запуска программ на Windows 10, нужно сделать следующее:

  • запустить функцию «Поиск Windows»;
  • ввести фразу «Управление компьютером»;
  • в левой части открывшегося окна активировать строку под названием «Просмотр событий»;
  • далее можно приступать к работе с функциями «Журналы Windows» и «Журналы приложений и служб».

Итак, мы разобрались с тем, где посмотреть историю на компьютере. Теперь стоит проверить список запускавшихся программ.

Проверка запуска приложений

Данная функция дает возможность проверить, какие приложения были запущены на компьютере, в какое время это произошло, а также какие ошибки возникли при работе. Чтобы проверить эту информацию, необходимо выполнить следующий алгоритм:

  • в уже запущенном окне «Управление компьютером» выбрать строку «Журналы Windows»;
  • после нажатия на нее откроется список, из него выбирается пункт под названием «Приложение»;
  • после его активации с правой стороны окна появится еще один список с различными сведениями (он сообщает о том, какие приложения запускались на данном устройстве, в какое время это произошло и какие ошибки при этом возникали).

Теперь можно поговорить о том, как посмотреть на компьютере историю появления новых приложений.

История установок

Для того чтобы проверить, что и когда из программ появилось на вашем устройстве, необходимо выполнить следующие действия:

  • запустить окно «Управление компьютером»;
  • активировать строку «Журналы Windows»;
  • из появившегося списка выбрать функцию «Установка». Появится перечень данных, отображающих приложения, установленные за последние несколько месяцев.

Стоит отметить, что данная система не слишком точна. В качестве примера приведена история: «06.05.2018 была установлена программа. Однако последняя дата установки за 13.04.2018».

Как посмотреть на компьютере историю включения и выключения

Данная возможность позволяет проверить, кто пользовался устройством в отсутствие хозяина. Если компьютер находится под защитой пароля, можно проверить, сколько раз кто-либо пытался попасть в систему.

Проверить данную информацию можно при помощи того же самого алгоритма:

  • с помощью «Поиска Windows» на панели задач перейти в программу «Управление компьютером»;
  • в открывшемся окне выбрать пункт «Журналы Windows»;
  • в этом случае необходимо обратиться к строке «Система»;
  • после ее активации откроется перечень событий, произошедших за время работы компьютера.

Чтобы проверить все в прямом порядке, необходимо отсортировать информацию по дате. Далее можно просто проверять информацию по времени, которое вас интересует.

Как проверить дату изменения файла?

Для того чтобы выяснить, происходило ли что-нибудь с устройством в ваше отсутствие, можно проверить состояние файлов. Точнее — дату их изменения. Делается это так:

  • перейти в директорию искомого файла;
  • правой кнопкой мыши нажать на ярлык приложения, и в появившемся списке выбрать пункт «Свойства»;
  • в новом окне пролистать вниз до строк «Создан» и «Изменен».

Источник

Как проверить время последнего использования приложения

Windows 10 фиксирует и записывает практически все действия в системе. Вы можете просмотреть записи в приложении Event Viewer, но просмотрщик событий не совсем интуитивно понятен для обычного пользователя. Все события имеют свои собственные идентификаторы и записано так много событий, что поиск информации о конкретном приложении слишком трудоёмок.

Если вы хотите посмотреть, когда к приложению последний раз обращались, вы можете сделать это из средства просмотра событий, но LastActivityView предлагает гораздо более простой способ поиска информации.

Время последнего доступа к приложению

Загрузите (ссылку для загрузки ищите внизу страницы) и запустите LastActivityView. В открывшемся окне будут перечислены приложения по времени действия. Это затруднит поиск приложения, для которого вы хотите просмотреть время последнего доступа.

Перейдите в столбец Filename и щелкните его заголовок, чтобы все приложения были отсортированы по алфавиту в порядке убывания. Просмотрите список, и когда вы найдете приложение, для которого вы хотите просмотреть последнее активное время, найдите его значение в столбце «Action Time». Это и будет временем последней активности.

LastActivityView будет сообщать о времени последнего активного или последнего просмотра/доступа к приложению, а также файлам и папкам. Независимо от того, работает ли приложение в данный момент.

Если у вас возникли проблемы с поиском приложения (или файла и папки), для которого вы хотите выполнить поиск последнего использования, вы можете воспользоваться функцией поиска приложения. Журналы сохраняют действия за последний год, поэтому все последние действия, которые вам нужно найти, должны быть там.

LastActivityView – это инструмент для поиска информации. Он не делает ничего, кроме этого, то есть вы не можете использовать его для мониторинга использования приложения. Если вам нужно знать, как долго приложение использовалось, вы можете попробовать диспетчер задач. Там имеется вкладка «История приложений», в которой отображаются данные за последний месяц.

К сожалению, он не показывает время выполнения всех приложений за последний месяц, т.е. не все приложения отображаются здесь. Непонятно, какие из них не отображаются, поскольку перечисленные включают в себя как приложения UWP, так и приложения для настольных компьютеров, но приложение «Масштаб» не появится в нём, хотя LastActivityView смог точно показать, когда к нему последний раз обращались в системе.

Источник

4 способа отслеживать время, проведенное на вашем компьютере

Отслеживание количества времени, проведенного за компьютером, – один из эффективных способов повышения ответственности и производительности. Это может помочь вам управлять своим временем, чтобы больше сосредоточиться на продуктивных задачах, а также определить, когда необходимо обновить вашу машину с помощью перезагрузки. В этой статье мы рассмотрим различные методы отслеживания времени, проведенного на вашем компьютере с Windows 10.

1 Отслеживание времени с использованием сетевых настроек

Вы можете узнать, как долго вы работали на своем компьютере, в настройках «Интернет и сеть».

  • Чтобы использовать эту опцию, вам необходимо подключить компьютер к сети с помощью адаптера Wi-Fi или Ethernet сразу после входа в систему.
  • Нажмите клавиши «Win + I», чтобы открыть приложение «Настройки Windows 10» и перейти к опции «Сеть и Интернет».
  • Под заголовком «Изменить настройки сети» нажмите «Изменить параметры адаптера».

  • Это откроет новое окно, отображающее ваши активные подключения. Дважды щелкните, чтобы открыть текущее соединение.

  • В появившемся всплывающем окне состояния подключения вы найдете время, когда вы были подключены к сети, в поле «Продолжительность».
  • Время указывается в часах, минутах и ​​секундах и эквивалентно времени, в течение которого вы работали на ПК.

Проверить продолжительность подключения

2 Проверка времени работы системы

Время безотказной работы системы относится к продолжительности работы вашего компьютера. Если вы хотите выключать компьютер после каждого сеанса, это может быть отличным способом узнать, как долго вы были за компьютером.

Вы можете проверить работоспособность вашей системы тремя способами:

2.1. Из диспетчера задач

  • Щелкните правой кнопкой мыши панель задач и выберите «Диспетчер задач» в появившемся меню.
  • Если диспетчер задач свернут, нажмите «Подробнее», чтобы развернуть и переключиться на вкладку «Производительность».
  • Под производительностью ЦП вы найдете «Время работы» с продолжительностью, показывающей количество дней, часов, минут и секунд.

Время работы диспетчера задач

2.2. Использование командной строки

  • Введите «Командная строка» в поиске Windows и выберите в результате «Открыть от имени администратора».
  • Введите команду ниже и нажмите клавишу Enter.

systeminfo | найдите «Время загрузки системы»

  • Команда выведет время последней загрузки, чтобы вы могли рассчитать время в зависимости от текущего времени.

Время загрузки CMD

2.3. Проверка времени работы с помощью PowerShell

  • Найдите и откройте «PowerShell» с помощью параметра администратора или щелкните правой кнопкой мыши кнопку «Пуск» и выберите «PowerShell (Admin)».
  • Введите следующую команду и нажмите Enter.

(дата получения) – (gcim Win32_OperatingSystem) .LastBootUpTime

  • На выходе будет разбито время, в течение которого ваш компьютер был включен, в днях и миллисекундах.

Время работы PowerShell

3 Использование Time Sense для отслеживания времени в Windows

Time Sense – бесплатное приложение для отслеживания времени от Microsoft. Сначала вам следует загрузить и установить приложение из Microsoft Store и использовать программное обеспечение для отслеживания времени, в течение которого вы были на своем ПК.

  • Запустите приложение Time Sense, чтобы начать отслеживание. На панели управления приложения вы найдете несколько функций.

Панель Time Sense

  • На вкладке «Главная» отображается время, в течение которого вы вошли в систему с момента разблокировки. На графике показаны интервалы времени, в течение которых вы использовали компьютер, а также самый длинный и самый короткий сеанс.
  • Вы можете щелкнуть значки в верхней части графика, чтобы просмотреть дополнительную информацию об отслеживании.

Иконки Чувства времени

  • Вы можете увидеть, сколько времени вы использовали ПК каждый день, щелкнув значок календаря в нижней части интерфейса, а затем выберите день, который хотите просмотреть.

  • Опция «Отчет» позволяет просматривать использование в течение определенного временного окна, например, за месяц, неделю и так далее.
  • Вы можете сохранить отчет, щелкнув значок сохранения внизу страницы отчета.

4 Использование стороннего программного обеспечения для отслеживания времени для Windows

Существует множество сторонних веб- приложений и настольных приложений для отслеживания времени, проведенного на ПК с Windows. Некоторые из популярных трекеров времени включают:

  • Урожай – программа может отслеживать время, проведенное за компьютером в командных и личных целях. Вы можете отслеживать время на нескольких устройствах, и это полезно для отслеживания продолжительности и записи временных меток. Кроме того, приложение определяет время простоя и поддерживает горячие клавиши, что делает его одним из самых удобных в использовании счетчиков времени.
  • Clockify – веб-трекер времени, совместимый со всеми версиями Windows. Программное обеспечение полностью бесплатное и доступно как в виде веб-приложения, так и в виде настольного приложения. Это позволяет вам отслеживать часы, которые вы проработали на своем компьютере, создавать отчеты об отслеживании и просматривать табели учета рабочего времени с единой панели управления.
  • Вы также можете рассмотреть RescueTime, TimeCamp или Work Time Monitor.

Заключение

Если вам необходимо отслеживать время, затрачиваемое на ваш компьютер для выставления счетов, управления проектами или по любой другой причине, вышеуказанные решения могут помочь вам эффективно достичь этой цели. Выбирая метод учета времени на вашем компьютере, вам необходимо проверить наличие функций, которые помогут вам в достижении вашей цели. Некоторые инструменты идеально подходят для предотвращения отвлечения внимания, в то время как другие предназначены для того, чтобы помочь руководителям проектов выполнить работу за меньшее время. Если вы хотите знать, как долго работает ваш компьютер, вы можете использовать встроенные инструменты для проверки работоспособности системы в Windows.

Источник

FAQ

Чтобы найти установленные на Вашем компьютере приложения, уточнить их версии и удалить, существует следующий способ:

Используйте инструкцию, согласно версии используемой операционной системы Windows на Вашем компьютере:

  • Windows 11
  • Windows 10

Windows 11

  1. Введите и найдите [Приложения и возможности] в поисковой строке Windows, нажмите [Открыть].
  2. В разделе [Приложения и возможности] откройте [Сортировка]③ и выберите фильтр по [Дате установки].
  3. Выберите [Фильтровать по]⑤ и выберите [Все диски]. При необходимости задайте поиск по конкретному диску. 
  4. Приложения будут отфильтрованы по последней дате установки, а также будут показаны версии этих приложений. Выберите раздел Дополнительные параметры. Если необходимо удалить приложение, нажмите на значок в нижней части выпадающего списка.
  5. Если Вам необходимо найти какие-либо другие приложения, откройте раздел  [Поиска приложенийи  введите название (или ключевое слово)., результат поиска отобразится.

Windows 10

  1. Введите и найдите [Приложения и возможности] в поисковой строке Windows, нажмите [Открыть].
  2. В разделе [Приложения и возможности] откройте [Сортировка]и выберите фильтр по [Дате установки].
  3. Выберите [Фильтровать по]и выберите [Все диски]. При необходимости задайте поиск по конкретному диску.
  4. Приложения будут отфильтрованы по последней дате установки. Выберите приложение, версию которого необходимо проверить или если его необходимо удалить из списка.
  5. Если Вам необходимо найти какие-либо другие приложения, откройте раздел [Поиска приложений] и введите название (или ключевое слово)., результат поиска отобразится.
  • Категория
    Настройки Windows/ Система
  • Тип
    Product Knowledge

Эта информация была полезной?

Yes
No

  • Приведенная выше информация может быть частично или полностью процитирована с внешних веб-сайтов или источников. Пожалуйста, обратитесь к информации на основе источника, который мы отметили. Пожалуйста, свяжитесь напрямую или спросите у источников, если есть какие-либо дополнительные вопросы, и обратите внимание, что ASUS не имеет отношения к данному контенту / услуге и не несет ответственности за него.
  • Эта информация может не подходить для всех продуктов из той же категории / серии. Некоторые снимки экрана и операции могут отличаться от версий программного обеспечения.
  • ASUS предоставляет вышеуказанную информацию только для справки. Если у вас есть какие-либо вопросы о содержании, пожалуйста, свяжитесь напрямую с поставщиком вышеуказанного продукта. Обратите внимание, что ASUS не несет ответственности за контент или услуги, предоставляемые вышеуказанным поставщиком продукта.

Like this post? Please share to your friends:
  • Как посмотреть историю удаленных файлов в windows 10
  • Как посмотреть историю удаления файлов на компьютере windows 10
  • Как посмотреть историю уведомлений windows 10
  • Как посмотреть историю событий в windows 10
  • Как посмотреть историю скриншотов windows 10