Ich bin nicht sicher, was Sie unter "White Listed" in Windows meinen, aber dieses Betriebssystem speichert Protokolldateien, wenn ein Programm geöffnet wird.
In der folgenden Liste finden Sie eine Liste einiger Verzeichnisse in Windows mit Protokollinformationen.
Windows Explorer
Beschreibung: Kürzlich geöffnete Dateien aus Windows Explorer. Speicherort: C: \ Users \\ AppData \ Roaming \ Microsoft \ Windows \ Recent Items. Warum Sie sich interessieren: Es kann sehr nützlich sein, zu wissen, welche Dateien kürzlich geöffnet wurden. Denken Sie, jemand greift auf Aufzeichnungen von Unterschlagung zu? Möglicherweise gibt es hier einen Zeiger auf die Excel-Datei, der Sie zu dem Speicherort der Daten führen kann. Hier können Sie auch Links zu Videos und Bildern sehen. Dies hatte ich bereits während einer Präsentation für die IVSS in Verlegenheit gebracht. :) Eintrag von: Irongeek, aber danke an Nir.
Beschreibung: Elemente, die kürzlich über die Leiste "Ausführen" ausgeführt wurden. Speicherort: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunMRU. Warum ist es wichtig? Viele Leute verwenden das Textfeld "Suchprogramme und -dateien", das in diesem Registrierungsschlüssel nicht angezeigt wird. Eintrag von: Irongeek, aber danke an Nir.
Beschreibung: Standort des Benutzerassistenten: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist. Warum ist das wichtig? Dieser Schlüssel enthält Informationen zu Programmen und Verknüpfungen, auf die die Windows-Benutzeroberfläche zugreift, einschließlich Ausführungsanzahl und Datum der letzten Ausführung. Aber die Art und Weise, wie es gespeichert wird, ist weniger offensichtlich. Didier Stevens hat ein Werkzeug, das die Daten hier weit analysiert: http://blog.didierstevens.com/programs/userassist/ Die von mir getestete Version scheint in Windows 7 nicht zu funktionieren, aber Mr. Stevens hat den Fall. Eintrag von: Irongeek, aber danke an Nir und Didier Stevens.
Beschreibung: Ereignisprotokolle Speicherort: Sollte sich je nach Betriebssystem in C: \ Windows \ System32 \ config oder C: \ Windows \ System32 \ winevt \ Logs befinden. Warum ist das wichtig? Diese können verschoben werden, also eine Desktopsuche nach * .evt und * .evtx. Informieren Sie sich über alles, was auf der Box passiert. Eintrag von: Irongeek.
Diese Informationen wurden von Irongeeks abgerufen. Sie können nach "UserAssist Didier Stevens" suchen, wenn ein GUI-Programm geöffnete Programme anzeigen soll.
Bitte beachten Sie, dass ich keinen Link zu diesen beiden Dingen posten kann, da mir vorgeworfen wird, dass eine Website gespammt und beworben wird.