首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[分享]周末有点时间:运行某些exe后留下的痕迹
发表于: 2016-9-18 00:33 6683

[分享]周末有点时间:运行某些exe后留下的痕迹

cvcvxk 活跃值
10
2016-9-18 00:33
6683
最近几天整理机器找不到自己用过的一个工具的路径,everything里又一大堆同名的exe,于是操起大棒。

1.Windows会把最近运行过的exe记录在注册表:
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

2.Windows会自动创建运行exe的pf缓存,在Windows的Prefetch目录下。

3.内存残留,部分exe会有一些内存数据残留在系统中,会被读出来。

PS:
使用的工具:
http://www.nirsoft.net/utils/winprefetchview.zip
http://www.nirsoft.net/utils/userassistview.zip

https://github.com/volatilityfoundation


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (11)
nmgwddj
雪    币: 69
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
学习了,没想到 Windows 还有这样的一些功能。
2016-9-18 09:21
0
BinGzL
雪    币: 393
活跃值: (224)
能力值: ( LV8,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
3
mark
2016-9-18 10:33
0
OxShun
雪    币: 100
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
4
补一发  Recent
2016-9-18 12:16
0
dats
雪    币: 2044
活跃值: (237)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
5
mark......
2016-9-18 14:49
0
hzqst
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
6
v大也开始玩儿一些奇奇怪怪的东西了
2016-9-18 15:08
0
Tennn
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
私信
7
v大多放点好料 让我们小菜捡捡垃圾。。。。
2016-9-18 15:36
0
祈求者
雪    币: 103
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
最近播放过的 avi 也能看得到
2016-9-18 16:25
0
ChengQing
雪    币: 573
活跃值: (1004)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
9
mark
2016-9-18 17:31
0
luskyc
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
每天有点时间的路过
2016-9-18 22:33
0
nilaoda
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
哇哦,有时间研究一下
2016-9-21 20:06
0
滕龙
雪    币: 15
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
感谢分享 方便的办法··
2016-10-19 20:43
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//