Как при помощи $MFT обнаружить факты запуска ВПО

Хочу рассказать о том, как не имея в логах никакой инфы о факте запуска какого-либо ПО, узнать когда и что запускалось на тачке.

Системный файл Master File Table (MFT) в Windows, можно использовать для поиска создания prefetch файлов (.pf) в nfts🫦

Когда приложение запускается, Windows создает или обновляет соответствующий префетч файл, что фиксируется в MFT. Чтобы найти факты запуска ПО в MFT достаточно скормит это утилите Зиммермана mftecmd

Дальше дело за малым: открываем получившийся файл в каком-нибудь текстовом редакторе типа notepad++, и находим факты создания и модификации файлов с расширением .pf.👀

Среди найденных записей найти те, которые вам нужны, будет не так сложно🙂‍↕️