$i=gp HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU; $i.MRUList.ToCharArray()|%{$i.$_} - pokaż ostatnio uruchamiane polecenia

Historia poleceń wprowadzonych w okienku Uruchom (dostępnym np. po naciśnięciu WIN+R) zapisywana jest w rejestrze w kluczu HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU (MRU to skrót od Most Recently Used).

Na szybko możemy tam rzucić okiem za pomocą Get-ItemProperty (w skrócie gp):

PS C:\Users\drg> gp HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

a            : powershell\1
MRUList      : cab
b            : pwsh\1
c            : regedit\1
PSPath       : Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Cur
               rentVersion\Explorer\RunMRU
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Cur
               rentVersion\Explorer
PSChildName  : RunMRU
PSDrive      : HKCU
PSProvider   : Microsoft.PowerShell.Core\Registry

PS C:\Users\drg>

Jeśli natomiast chcemy mieć pełny obraz sytuacji, to musimy wiedzieć, że każde polecenie zapisane jest w jednoznakowej wartości (w przypadku powyżej są to a, b, c) i zakończone jest sekwencją \1, natomiast w MRUList znajduje się kolejność, w jakich polecenia były wprowadzane.

Pobieramy więc najpierw wszystkie wartości z tego klucza, następnie zamieniamy MRUList na tablicę znaków, po której iterujemy wyświetlając następnie skorelowane wartości.

PS C:\Users\drg> $i=gp HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU; $i.MRUList.ToCharArray()|%{$i.$_.trim('\1')}

regedit
powershell
pwsh

PS C:\Users\drg>

BlueTeamy - warto czasem tam zajrzeć, zwłaszcza podczas threathuntingu/forensicu (właśnie tam trafi payload uruchomiony przez Rubber Ducky czy inne pendrive-klawiatury). A RedTeamy - cóż, pamiętajcie zawsze, by po sobie sprzątać. ;)