如何查看用户运行的程序?

1

程序和功能(甚至更好的Nirsoft的MyUninstaller)告诉我安装的程序,我可以访问一些缓存的安装数据,但有没有办法记录用户运行的可执行文件?

setup.exe(通常?)包含msi信息,但我正在查找用户运行的setup.exe列表。

我正在尝试计算运行安装程序的可执行文件(文件名和路径)以备份安装程序。

我创建了日期/时间(15/05/2015),并使用史诗般的“Everything”搜索工具(来自Void)我可以看到该日期访问过的文件(使用da:15/05/2015 * .exe)但是我看不到任何突出的东西,这让我觉得安装人员已经被摧毁了...在哪里都有日志?

例如,我在C:\ Windows \ Installer中看到一些巨大的安装程序,如30475b.msi,我可以打开.msi并查看其中的内容我想 - 是否有任何记录这些无处不在的.msi文件和它们之间的关联的日志发起'容器可执行'?

想知道(如果没有),是否有任何搜索工具可以搜索source.msi等可执行文件

windows-installer  event-log 
强尼
source

Answers:

1

我在C:\ Windows \ Installer中看到一些巨大的安装程序,如30475b.msi,我可以打开.msi并查看其中的内容我想 - 是否有任何记录这些无处不在的.msi文件与其原始容器之间的关联的日志可执行”

是的,您可以跟踪存储在C:\ Windows \ Installer中的 MSI文件之间的关系,运行安装程序的源setup.exe / setup.msi目录路径,安装日期,目标安装路径和其他信息。

导航到注册表项[HKCU|HKLM]\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\{YOUR USER SID}\Products,您将在那里找到每个已安装的MSI包的相应信息。

这是一个示例图像: 在此输入图像描述

您还可以在这些其他注册表项中找到信息:

  • [HKCU | HKLM] \ SOFTWARE \微软\的Windows \ CurrentVersion \卸载
  • [HKCU | HKLM] \ SOFTWARE \微软\的Windows \ CurrentVersion \卸载
  • [HKCU | HKLM] \ SOFTWARE \ Wow6432Node \微软\的Windows \ CurrentVersion \卸载

(仅记下具有GUID作为名称的键)

如何查看用户运行的程序?

例如与第三方应用程序,它会告知通用计算机活动,如使用LastActivityViewNirsoft

http://www.nirsoft.net/utils/computer_activity_view.html

在此输入图像描述

它是免费软件。

ElektroStudios
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.