Средб загрузки данных на диск

Обновлено: 01.07.2024

Страница 3 – Ищете ответы? Присоединяйтесь к сообществу Tom's Hardware: почти два миллиона участников делятся решениями и обсуждают новейшие технологии.

Джеймкгаффи

Уважаемый

Разные причины, один и тот же результат. Мой клиентский компьютер практически все время работал на 100 %. Попробовал несколько предложений здесь и получил мгновенное облегчение, а затем вернулся к 100%. Когда я сделал chkdsk, он перезагрузился, начал проверку и пролежал на 10% больше часа. Таким образом, мы грубо остановили компьютер, а когда он загрузился, зашли в «Дополнительные параметры» (или что-то подобное) и попали в командную строку. Запустил chkdsk там с ключом /x, и он запустился - и обнаружил недостаточно свободного места для перемещения файлов на плохие кластеры для шести файлов.
Поскольку диск был заполнен менее чем на десятую часть, это был очень плохой признак — он также не прошел диагностику HP. Все еще на гарантии, поэтому он получает новый жесткий диск - к счастью, клиент делает большую часть своей работы в Интернете, поэтому очень мало данных, которые нужно извлечь.
Итак, еще одна возможная причина 100% использования - я подозреваю, что он отчаянно искал хорошие кластеры и не находил их.

Мег Муззамир

Уважаемый

Я искал решение больше месяца и, наконец, решил проблему:

Перейдите на панель чудо-кнопок и нажмите "Поиск", а затем введите "Просмотр местных служб".
Оказавшись здесь, остановите и отключите BITS (фоновую интеллектуальную службу передачи). Кроме того, установите проверку обновлений Windows на ручную.
Похоже, что Chrome также был фактором, поэтому удалите и его.

Надеюсь, это поможет вам

Спасибо! Уничтожение BITS также решило мою проблему. Но что делает этот сервис? Плохо ли просто остановить эту службу?

Таймур Джаваид

Уважаемый

Привет
Я прочитал все сообщения и внедрил, но не решил проблему со 100-процентным диском. любой Решить эту проблему

треккер04

Почетный

Я несколько раз замечал, что мой компьютер работает со 100% использованием диска. AVG, кажется, всегда находится в верхней части списка операций чтения/записи диска. Так может это и есть причина?

Я почти уверен, что с моим компьютером физически все в порядке, поскольку у меня уже были подобные проблемы в Windows 8 (на ноутбуке), и эти проблемы не воспроизводились, когда я запускал Windows 7 на этом ноутбуке.

Это не может быть проблема с драйвером, поскольку все последние версии драйверов (совместимые с Windows 8) установлены и работают. Сегодня мой диск загрузился на 100% вскоре после запуска, и он был так занят «вещами», что мой компьютер завис на несколько секунд (даже мышь не могла двигаться), а затем через несколько секунд разморозился. Как я уже сказал, у меня уже были такие проблемы в Windows 8. Я также погуглил и обнаружил, что это распространенная проблема.

Кто-нибудь знает, есть ли решение этой проблемы? Когда мой компьютер не использует 100 % дискового пространства, он работает хорошо.

У меня была такая же проблема. Запуск смехотворно медленный. Просмотр — это непростая задача (не обязательно скорость перехода с одной страницы на другую, а просто переход на веб-страницу, например ввод URL-адреса, загрузка видео и т. д.)

Я провел несколько проверок, чтобы убедиться, что это не вредоносное ПО или какой-либо вирус, и тщательная проверка показала, что обнаружено 0. Я отключил пару приложений через локальные службы и ничего. Решил остановить свой антивирус AVAST, и вуаля! Со 100% до 2%! Я использовал Avast Internet Security. Я сообщил об этом Avast. КСТАТИ. остановка BITS мне не помогла.

wpnschick

Уважаемый

Спасибо! Мой компьютер работал очень медленно, и когда я проверил диспетчер задач, «диск» был на 99% и выделен красным цветом. Я следовал вашим инструкциям, и теперь он чередуется между 2% и 4%. Сейчас все работает на нормальной скорости. У меня была эта проблема раньше, и я всегда перезагружала свой компьютер в надежде ускорить процесс. Я так рад, что нашел решение. Я ценю информацию.

Адам Каллин

Уважаемый

Перейдите к: Панель управления/Устранение неполадок/Система и безопасность
Запустите средства устранения неполадок, чтобы решить проблемы с: Центром обновления Windows, поиском и индексированием и обслуживанием системы.
Перезагрузка — и вуаля.

Обязательно восстановите ошибочно остановленные службы, такие как:
BITS (фоновая интеллектуальная служба передачи)
Superfetch
Поиск Windows

Это сработало для меня. Спасибо!

Фанаты FreeBSD

Уважаемый

Я попробовал «решения», предложенные другими, и ничего не помогло мне. Я даже переустановил Windows 8. Никакой радости. Поэтому я создал свое собственное решение. Я снес Windows и установил ОС FreeBSD, а затем установил GNOME3 в качестве рабочего стола. Моей семье это нравится, и компьютер невероятно быстрый. Нам так нравится, что другие мои компьютеры также работают под управлением ОС FreeBSD, один с рабочим столом XFCE4, а другой с рабочим столом KDE4.

дбертови

Уважаемый

Я несколько раз замечал, что мой компьютер работает со 100% использованием диска.AVG, кажется, всегда находится в верхней части списка операций чтения/записи диска. Так может это и есть причина?

Я почти уверен, что с моим компьютером физически все в порядке, поскольку у меня уже были подобные проблемы в Windows 8 (на ноутбуке), и эти проблемы не воспроизводились, когда я запускал Windows 7 на этом ноутбуке.

Это не может быть проблема с драйвером, поскольку все последние версии драйверов (совместимые с Windows 8) установлены и работают. Сегодня мой диск загрузился на 100% вскоре после запуска, и он был так занят «вещами», что мой компьютер завис на несколько секунд (даже мышь не могла двигаться), а затем через несколько секунд разморозился. Как я уже сказал, у меня уже были такие проблемы в Windows 8. Я также погуглил и обнаружил, что это распространенная проблема.

Кто-нибудь знает, есть ли решение этой проблемы? Когда мой компьютер не использует 100 % дискового пространства, он работает хорошо.

Эй, у меня была точно такая же надоедливая проблема: использование диска на 100%, перезагрузка в течение 1 часа, запуск приложения мог привести к использованию диска на 100% из обычного режима и т. д. Действительно серьезная проблема. Я пытался выяснить почему, но безрезультатно, и ни одно из предложенных решений на интернет-форумах не решило проблему. Все, что я знаю (на ноутбуке HP), это то, что проблема возникла в первый раз, когда я закрыл ноутбук и снова открыл его. Я также пробовал менять планы электропитания, но ничего.

После 10 дней (!!) я решил прекратить преследование и переустановить Windows (Win 8.1 Pro). Я создал установочный USB-диск для Win 8.1 Pro, использовал какое-то приложение для определения моего ключа (который в любом случае не был нужен) и переустановил Windows (но я выбрал вариант «Удалить все» (во время опроса по установке)), после утомительного резервного копирования. После переустановки все было хорошо, пока я не закрыл ноутбук! И снова та же проблема.

Затем я снова переустановил Windows, но на этот раз я решил сохранить все, и после этой установки все пришло в норму, все было сохранено на диске (мне пришлось снова установить некоторые настольные приложения - они были удалены во время установки) а потом я заметил, что на моем диске C было освобождено около 110 ГБ (вероятно, избыточных) данных (!!), но все мои данные были целы. С этого момента все работает гладко, и больше никаких признаков такой проблемы. И я могу нормально закрыть свой ноутбук.

Хотелось поделиться этим здесь, так как у многих из вас есть такая же проблема, и это решение действительно экономит время. Поверьте мне, это длилось день, но я избавился от очень серьезной проблемы. Ура.

У вас должна быть возможность безопасно удалить srudb. dat, и Windows должна создать его заново. Эта функция является частью службы политик диагностики.

Что такое SRU Srudb dat?

Файлы игровых данных, такие как SRUDB. dat, считаются типом файла библиотеки динамической компоновки (игровые данные). Они связаны с расширением файла DAT, разработанным CubedLabs для YouTube Download & Convert 1.1. … это включено в YouTube Download & Convert 1.1. 4, Bypass Proxy Client 0.78 и XNote Stopwatch 1.68.

Что такое Esent?

ESENT — это встроенная поисковая система базы данных на вашем компьютере, которая помогает File Explorer, Search искать параметры на вашем компьютере. Некоторые пользователи Windows 10 или Windows 11 жалуются на проблему, связанную со сбоем ESENT в их соответствующих системах.

Что такое Windows system32 SleepStudy?

Начиная с Windows 8.1, программный инструмент SleepStudy стал доступен в качестве компонента входящих сообщений на всех ПК с Windows, которые реализуют современную модель резервного питания. SleepStudy может измерять производительность современного режима ожидания с минимальным воздействием. … Инструмент SleepStudy предоставляет обзорную информацию о каждом современном резервном сеансе.

Что делает служба политик диагностики?

Служба политики диагностики позволяет обнаруживать проблемы, устранять неполадки и устранять их для компонентов Windows в вашей операционной системе Windows. Если эта служба не запущена, диагностика больше не будет работать.

Как я могу открыть файл Srudb DAT?

В окне «Дополнительные параметры» (F9) вы можете выбрать загрузку SRUDB. dat с внешнего диска или с удаленного компьютера в вашей сети. Имейте в виду, что загрузка информации об использовании сети с удаленного компьютера работает только в том случае, если файл базы данных на удаленном компьютере не заблокирован.

Что такое монитор использования системных ресурсов?

Мониторинг использования системных ресурсов (SRUM) – это новая технология, дебютировавшая в Windows 8. SRUM отслеживает статистику процессов и сети с течением времени в базе данных. Информация, собираемая SRUM, включает сведения о процессах, сведения о пользователе, циклы ЦП и сетевые данные, отправленные или полученные конкретным процессом.

Как восстановить Windows 10?

1. Перейдите в меню дополнительных параметров запуска Windows 10. …
2. После загрузки компьютера выберите "Устранение неполадок".
3. Затем вам нужно нажать Дополнительные параметры.
4. Нажмите "Восстановление при загрузке".
5. Выполните шаг 1 предыдущего метода, чтобы открыть меню дополнительных параметров запуска Windows 10.
6. Нажмите "Восстановление системы".

Что такое предупреждение ESENT?

Что такое ошибка сообщений об ошибках ESENT в Windows 10? ESENT — это компонент DLL, который используется средой выполнения ESE (Extensible Storage Engine), которая представляет собой технологию хранения данных, обеспечивающую поиск в Проводнике и на рабочем столе. Кроме того, ESE также используется для индексации каталога мультимедиа на рабочих компьютерах.

Как очистить исследование сна?

Я хочу отключить и удалить "Sleep Study" и все компоненты, так как это ненужный расход системных ресурсов….etl "только для чтения".

1. Перейдите по адресу: "C:\Windows\System32\SleepStudy".
2. Щелкните правой кнопкой мыши файл: "UserNotPresentSession. …
3. Установите флажок "Только для чтения" и сохраните изменения.

Как получить исследование сна в Windows 10?

Чтобы создать отчет об исследовании сна в Windows 10, выполните следующие действия.

1. Откройте командную строку с повышенными правами.
2. Введите или скопируйте и вставьте следующую команду: powercfg /SleepStudy /output %USERPROFILE%\Desktop\sleepstudy.html. …
3. Следующая команда формирует отчет за указанное количество ДНЕЙ.

Можно ли остановить службу политик диагностики?

Шаг 1. Откройте диалоговое окно «Выполнить», введите msconfig и нажмите «ОК», чтобы открыть «Конфигурация системы». Шаг 2. Перейдите на вкладку «Службы» и найдите Службу политик диагностики. Затем отметьте службу (или снимите ее, если хотите отключить) и нажмите кнопку «Применить» и «ОК».

Что такое узел службы Utcsvc?

Utcsvc.exe — это компонент операционной системы Windows, работающий под отображаемым именем DiagTrack (служба диагностического отслеживания). Его также можно обнаружить в разделе Service Host: имя UtcSvc. … В Windows 10 Utcsvc собирает данные телеметрии на основе уровня телеметрии, выбранного для системы.

Как найти монитор ресурсов в Windows 10?

В Windows 10 выберите «Пуск» > «Все приложения» > «Инструменты администрирования Windows» > «Монитор ресурсов». В предыдущих версиях Windows выберите «Пуск» > «Все программы» > «Стандартные» > «Системные инструменты» > «Монитор ресурсов». Откройте диспетчер задач Windows с помощью Ctrl-Shift-Esc. Перейдите на вкладку «Производительность» и там «откройте монитор ресурсов».

В чем разница между монитором производительности и монитором ресурсов?

Монитор ресурсов Windows 7 предоставляет краткую сводку об общем использовании ЦП, диска, сети и памяти. Монитор производительности Windows 7 позволяет проверять большое количество счетчиков для определенных системных процессов и служб.

Можно ли восстановить Windows 10 без потери данных?

Если вы продолжаете сталкиваться с ошибками типа "синий экран смерти" (BSOD), или ваш компьютер работает заметно медленнее или зависает на неопределенный срок, переустановка Windows 10 — это безопасный способ уменьшить время простоя и потери работы. Переустановка Windows 10 также может отменить ошибочное обновление, исправление безопасности или установку или обновление драйвера.

Как проверить восстановление Windows 10?

Как восстановить Windows 10 с помощью средства проверки системных файлов

1. Откройте Пуск.
2. Выполните поиск командной строки, щелкните правой кнопкой мыши верхний результат и выберите параметр «Запуск от имени администратора».
3. Введите следующую команду, чтобы восстановить системные файлы Windows 10, и нажмите Enter: sfc /scannow. …
4. Подтвердите результаты команды:

Как исправить ошибки ESENT?

Чтобы исправить ошибку, все, что вам нужно сделать, это создать несколько отсутствующих каталогов, позволяющих Windows создавать и сохранять EDB. лог-файлы. Если проблема не устранена, начните с проверки истории надежности, а затем перейдите к средству просмотра событий, чтобы диагностировать проблему.

NetworkUsageView извлекает и отображает информацию об использовании сети, хранящуюся в базе данных SRUDB.dat в Windows 8, Windows 10 и Windows 11. Данные об использовании сети собираются каждый час операционными системами Windows и включают следующую информацию: имя и описание службы или приложения, имя и SID пользователя, сетевой адаптер и общее количество байтов, отправленных и полученных указанной службой или приложением.

Системные требования

Эти инструменты работают в Windows 8, Windows 10 и Windows 11. Предыдущие версии Windows не поддерживаются, поскольку операционная система не собирает информацию об использовании сети.

История версий

• Версия 1.26:
  • Добавлена ​​возможность изменить столбец сортировки из меню (Вид -> Сортировать по). Как и при сортировке щелчком по заголовку столбца, если вы снова щелкнете тот же пункт меню сортировки, он будет переключаться между порядком возрастания и убывания. Кроме того, если вы удерживаете клавишу Shift при выборе элемента меню сортировки, вы получите вторичную сортировку.
  • Исправлены некоторые проблемы с отображением в режиме высокого разрешения.
  • Добавлен параметр «Единица счетчика байтов», который позволяет выбрать единицу измерения для отображения столбцов «Отправлено байтов» и «Получено байтов»: байты, кБ, КиБ, МБ, МиБ, ГБ, ГиБ или автоматически.< /li>
  • В нижней строке состояния теперь отображается общее количество отправленных и полученных байтов для выбранных элементов.
  • Добавлен параметр "Выровнять числовые столбцы по правому краю".
  • Добавлены новые столбцы: Сетевой адаптер Guid, Сетевой адаптер Luid, Имя подключения.
  • Добавлена ​​поддержка получения информации о сетевом адаптере из реестра удаленного компьютера.
  • Добавлена ​​поддержка получения информации о сетевом адаптере из системного куста внешнего диска.
  • Добавлен параметр "Добавить строку заголовка в CSV/файл с разделителями табуляцией" (включен по умолчанию).
  • Добавлен параметр "Сохранить все элементы" (Shift+Ctrl+S).
  • Теперь вы можете отправить данные на стандартный вывод, указав пустую строку в качестве имени файла, например:
    NetworkUsageView.exe /scomma "" | больше
  • Теперь можно изменять размер окна свойств. Теперь вы можете изменить размер окна свойств, а последний размер/положение этого окна сохраняется в файле .cfg.
  • Добавлены новые режимы отображения: «Отображать сводку по приложению», «Отображать сводку по пользователю», «Отображать сводку по приложению и пользователю». Вы можете выбрать их в окне "Дополнительные параметры" (F9).
  • Добавлен столбец "Идентификатор приложения".
  • Исправлена ​​ошибка: в некоторых системах NetworkUsageView не мог получить доступ к базе данных SRUDB.dat, но не предлагал пользователю запустить ее от имени администратора для доступа к файлу.
  • Добавлены новые параметры для функции "Быстрый фильтр".
  • Добавлена ​​возможность выбора другого шрифта (имя и размер) для отображения в главном окне.
  • Теперь вы можете использовать любую переменную внутри .cfg-файла в качестве параметра командной строки, чтобы задать конфигурацию из командной строки, например: следующая команда обрабатывает внешнюю базу данных SRUDB.dat и экспортирует результат в .csv-файл:
    NetworkUsageView.exe /LoadFrom 2 /ExternalFilename "c:\temp\SRUDB64.dat" /scomma c:\temp\nuv.csv

  Начать использовать NetworkUsageView

  NetworkUsageView не требует установки или дополнительных DLL-файлов. Для того, чтобы начать его использовать, просто запустите исполняемый файл - NetworkUsageView.exe

  После запуска NetworkUsageView — если файл базы данных SRUDB.dat заблокирован, NetworkUsageView спросит вас, хотите ли вы запустить его от имени администратора, чтобы получить доступ к заблокированному файлу. Если файл не заблокирован, NetworkUsageView немедленно загрузит его.

  Окно «Дополнительные параметры»

  В окне «Дополнительные параметры» (F9) вы можете выбрать загрузку базы данных SRUDB.dat с внешнего диска или с удаленного компьютера в вашей сети. Имейте в виду, что загрузка информации об использовании сети с удаленного компьютера работает только в том случае, если файл базы данных на удаленном компьютере не заблокирован.

  Вы также можете загрузить данные об использовании сети за последние xx дней или за указанный диапазон дат/времени.

  Столбцы NetworkUsageView

  • Идентификатор записи: идентификатор записи в базе данных SRUDB.dat.
  • Временная метка: дата/время создания этой записи.
  • Имя приложения. Имя приложения или службы.
  • Описание приложения. Описание приложения или службы. Если «Имя приложения» — это имя файла .exe, описание берется из ресурса версии файла .exe. если «Имя приложения» является службой, описание берется из строки описания службы.
  • Имя пользователя: имя пользователя в соответствии с SID пользователя, указанным в базе данных SRUDB.dat. Это поле пусто при чтении файла с внешнего диска.
  • SID пользователя: SID пользователя.
  • Отправлено байтов: общее количество байтов, отправленных приложением или службой.
  • Получено байтов: общее количество байтов, полученных приложением или службой.
  • Сетевой адаптер: имя сетевого адаптера, который использовался для отправки/получения данных (это поле пусто для режимов удаленного и внешнего накопителя).

  Параметры командной строки

  Для всех параметров командной строки сохранения можно указать пустое имя файла для отправки данных в стандартный вывод, например:
  NetworkUsageView.exe /scomma "" | больше

  Перевод NetworkUsageView на другие языки

  1. Запустите NetworkUsageView с параметром /savelangfile:
     NetworkUsageView.exe /savelangfile
     В папке утилиты NetworkUsageView будет создан файл NetworkUsageView_lng.ini.
  2. Откройте созданный языковой файл в Блокноте или любом другом текстовом редакторе.
  3. Переведите все строковые записи на нужный язык. При желании вы также можете добавить свое имя и/или ссылку на свой веб-сайт. (значения TranslatorName и TranslatorURL). Если вы добавите эту информацию, она будет использоваться в окне "О программе".
  4. После завершения перевода запустите NetworkUsageView, и все переведенные строки будут загружены из языкового файла.
     Если вы хотите запустить NetworkUsageView без перевода, просто переименуйте языковой файл или переместите его в другую папку.

  Лицензия

  Эта утилита распространяется бесплатно. Вам разрешается свободно распространять эту утилиту через дискету, CD-ROM, Интернет или любым другим способом, при условии, что вы ничего за это не берете, не продаете и не распространяете ее как часть коммерческого использования. товар. Если вы распространяете эту утилиту, вы должны включить все файлы в дистрибутив без каких-либо изменений!

  Отказ от ответственности

  Программное обеспечение предоставляется «КАК ЕСТЬ» без каких-либо явных или подразумеваемых гарантий, включая, помимо прочего, подразумеваемые гарантии товарного состояния и пригодности для определенной цели. Автор не несет ответственности за какой-либо особый, случайный, косвенный или косвенный ущерб из-за потери данных или по любой другой причине.

  
  

  Реагирование на инцидент в лаборатории

  Вы когда-нибудь задумывались, как судебные аналитики и специалисты по информационной безопасности и реагированию на инциденты могут воссоздать временные шкалы, демонстрирующие, кто какие приложения и когда запускал на компьютере с Microsoft Windows, даже без причудливых/дорогих инструментов обнаружения и реагирования на конечных точках? Короткий ответ: глубокое изучение функций, которые Microsoft никогда не планировала использовать в качестве инструментов криминалистики Windows.

  В этом посте я объясню многие из артефактов, которые можно найти в системах Microsoft Windows, какова их первоначальная цель (если она известна) и как извлечь из них значимые криминалистические данные.

  Мы собираемся в первую очередь придерживаться свидетельств запуска исполняемых файлов или путей, по которым эти исполняемые файлы можно найти. Криминалистическая экспертиза памяти выходит за рамки этой публикации.

  Связать файлы

  Windows использует папку C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent для хранения LNK-файлов, связанных с файлами, к которым пользователь недавно обращался, обычно путем двойного щелчка по ней в окне проводника Windows. .

  Если файл будет открыт повторно, он будет перезаписан последним доступом к файлу независимо от того, существует ли файл в другом каталоге.

  В Windows 10 и более поздних версиях Microsoft начала добавлять расширение LNK-файла и запрещать supersecretfile.xlsx перезаписывать LNK-файл для supersecretfile.txt.

  Несмотря на это, следует помнить, что для данного имени файла записывается только последнее открытие. Также важно отметить, что файлы LNK сохраняются в каталоге Recent, несмотря на то, что сам файл был удален. При просмотре каталога в проводнике Windows расширение .lnk никогда не отображается, даже если в параметрах папки выбрано «показывать расширения файлов» (рис. 1). Однако эти файлы можно просматривать через командную строку (рис. 2).

  Рисунок 2. Недавняя папка, просмотренная через командную строку

  
  

  
  

  Рисунок 3. Вывод LECmd.exe

  Здесь мы видим, что абсолютный путь к файлу — C:\temp\users.txt.

  Списки переходов

  Списки переходов — это файлы, которые создаются для каждого пользователя отдельно для двух целей. AutomaticDestinations заполняются автоматически, когда приложение, связанное с файлом, запускается и сохраняется во вложенной папке в папке Recent.

  
  

  Рисунок 4. Всплывающее окно последних файлов

  Папки CustomDestinations аналогичным образом хранятся в папке «Недавние», но создаются, когда пользователь «прикрепляет» файл к меню «Пуск» или панели задач.

  
  

  Рисунок 5. Закрепление на панели задач и в меню «Пуск»

  И то, и другое может быть удобно для демонстрации пользователю знания и взаимодействия с конкретным файлом или приложением. При просмотре любой из этих папок файлы, связанные с каждым приложением, обозначаются постфиксом «-ms» и AppID.AppID требует небольшого поиска в Интернете, чтобы понять его значение, но есть довольно много сайтов, которые составили их большие списки.

  
  

  
  

  
  

  Рисунок 7. Проанализированный список переходов, выводимый JLECmd

  Предварительная и супервыборка

  Чтобы повысить скорость загрузки приложений, Windows представила Prefetch в Windows XP. Предварительная загрузка по существу захватывает все файлы, связанные с приложением, с диска и записывает их в память, поэтому пользователю не нужно ждать, пока они будут загружены с диска.

  В Vista был представлен Superfetch, который развивает эту концепцию, отслеживая поведение пользователя и пытаясь предсказать, какие приложения будут запущены, и упреждающе загрузить их в память. Папка Prefetch (C:\Windows\Prefetch), которая позволяет выполнять эти действия, содержит файлы, в которых каждое приложение отслеживается в файле .PF с соответствующим именем и хэше исполняемого файла.

  
  

  Рисунок 8. Каталог предварительной выборки Windows

  По мере развития версий Windows доступные данные в файлах .PF изменялись, но в современных системах Windows каждый файл содержит путь к исполняемому файлу, последние и семь предыдущих запусков исполняемого файла, а также файлы/каталоги. используется исполняемым файлом.

  Следует также отметить, что предварительная выборка не всегда включена, особенно когда система работает на твердотельном накопителе, а не на вращающемся диске. Это можно проверить, изучив ключ реестра HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters. Если в подразделах EnablePrefetcher и EnableSuperfetch указано значение 0, функция не включена.

  Как видно из пустого места под полем «PreviousRun0» на рис. 9, Notepad.exe запускался только один раз. Другой — это временная шкала, созданная путем извлечения каждой идентифицированной среды выполнения и связанного с ней исполняемого файла, как показано на рис. 10.

  
  

  Рисунок 9. Prefetch.csv

  
  

  Мониторинг использования системных ресурсов (SRUM)

  Вы когда-нибудь использовали Диспетчер задач, чтобы посмотреть, какие приложения запущены?

  Диспетчер задач — это всего лишь небольшой набор данных, хранящихся в базе данных System Resource Monitor (SRUM), введенной в Windows 8 для отслеживания использования ресурсов. Полная база данных находится в папке C:\Windows\system32\sru\SRUDB.dat.

  Во время работы Windows временно сохраняет эти данные в HKLM\SOFTWARE\Microsoft\Windows NT\CurrenVersion\SRUM\Extensions и записывает в SRUDB.dat при завершении работы. SRUM содержит обширную информацию о действиях пользователей, включая полный путь к исполняемым файлам, время ЦП в активном и фоновом режиме, а также SID, ответственный за выполнение.

  В SRUM можно найти данные приложения за последние 30 дней.

  SRUM Dump 2 можно использовать как в действующей системе, так и в файлах с образа диска. Если в командной строке не переданы никакие аргументы, SRUM Dump 2 предоставит пользователю графический интерфейс, позволяющий переходить к необходимым файлам (Рисунок 11 — Графический пользовательский интерфейс SRUM DUMP 2 Рисунок 11 — Графический пользовательский интерфейс SRUM DUMP 2. При попытке захвата активный куст реестра SRUDB.dat или SOFTWARE, SRUM Dump2 предложит вам загрузить fget для создания копии обоих файлов.

  
  

  Рисунок 11 – Графический пользовательский интерфейс SRUM DUMP 2

  SRUM DUMP 2 выводит файл SRUM_DUMP_OUTPUT.xlsx, который содержит исполняемые файлы, SID, с помощью которого выполнялся исполняемый файл, дату/время, использование сети и массу другой информации, связанной с ресурсами.

  Правда, когда я запускал этот инструмент, были ошибки синтаксического анализа, которые выглядели как неправильная интерпретация поля как даты. Хотя это отбросило предполагаемую дату/время и добавило ненужные данные, выглядящие как мусор, в поле «Приложение», поле «Время окончания» было точным. Это просто потребовало преобразования из OLE в более удобный для человека формат даты/времени.

  
  

  Рисунок 12. Вывод дампа SRUM

  Ключи реестра

  Реестр Windows представляет собой набор иерархических баз данных, содержащих информацию, настройки, параметры и другие значения, используемые операционной системой Windows и приложениями, которые ее используют. Существует масса информации, которая поможет предоставить доказательства казни, если знать, где ее искать.

  • HKCU\\Software\Microsoft\Windows\CurrentVersion\
    • Проводник\
      • RecentDocs — хранит несколько ключей, которые можно использовать для определения того, к каким файлам обращался пользователь. Ключ MRUListEx показывает порядок доступа к файлам.

      Рисунок 15. Записи Windows «Выполнить»

      (Да, это SID Скраффи, а не Зойдберга. Образовательные цели и все такое…)

      • UserAssist — имена запущенных программ с графическим интерфейсом в кодировке ROT-13 и количество запусков каждой из них.

      Проводник ShellBags объединит необходимые поля NTUSER.DAT и UsrClass.dat и может экспортировать CSV или открыть графический интерфейс для определения того, какие папки просматривал пользователь, и соответствующих взаимодействий, которые пользователь имел с этими папками.

      
      
      < бр />

      Дополнительные ресурсы

      • Applied Incident Response, Стив Энсон, ISBN: 9781119560265

      Если вам нужна помощь в расследовании или вы хотите воспользоваться услугами для будущего расследования, не стесняйтесь обращаться к FRSecure.

      Читайте также:

        
      • Управление дисками не открывается в Windows 10
        
      • Какие процессоры поддерживает материнская плата asus p5k
        
      • Что такое дежурка в электроснабжении
        
      • Запись на диск не поддерживается Lightroom на этом компьютере
        
      • Почему из 8 ГБ ОЗУ доступно только 4