recent-file-cache
Windows 7 の RecentFileCache.bcf ファイルを解析して、最近実行されたプログラムのファイルパス一覧を照会します。このファイルにはアプリケーション互換性キャッシュに記録された実行履歴が含まれます。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | ライセンスが必要なコマンド |
| 並列実行 | 非対応 |
| 分散実行 | データノードで実行(mapper) |
構文
recent-file-cache [zippath=STR] [zipcharset=STR] FILE_PATH
オプション
zippath=STR- BCF ファイルが含まれる ZIP ファイルのパス。ZIP ファイル内の BCF ファイルを直接照会する際に使用します。
zipcharset=STR- ZIP ファイルエントリの文字セット(デフォルト:
utf-8)
ターゲット
FILE_PATH- 照会する RecentFileCache.bcf ファイルのパス。ワイルドカード(
*)を使用して複数のファイルを指定できます。Windows 7 ではC:\Windows\AppCompat\Programsディレクトリにあります。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
_file | 文字列 | BCF ファイル名 |
file_path | 文字列 | 実行されたプログラムのファイルパス |
エラーコード
パースエラー
該当なし
ランタイムエラー
| エラーコード | メッセージ | 説明 | 後処理動作 |
|---|---|---|---|
| - | cannot load RecentFileCache.bcf file | BCF ファイルを読み込めない場合 | クエリを中断 |
| - | invalid RecentFileCache.bcf file. magic is {値} | BCF ファイルのマジックナンバーが正しくない場合 | クエリを中断 |
説明
recent-file-cache コマンドは、指定した RecentFileCache.bcf ファイルをバイナリ形式で解析し、各エントリの実行プログラムファイルパスを抽出します。BCF ファイルは Windows 7 のアプリケーション互換性キャッシュが記録するファイルで、システムで実行されたプログラムのパスを保存します。
ファイル先頭のマジックナンバー(0xFEFFEEFF)を検証して正しい BCF ファイルかどうかを確認します。マジックナンバーが一致しない場合はエラーが発生します。
ZIP ファイル内の BCF ファイルを照会するには、zippath オプションに ZIP ファイルのパスを指定し、ターゲットに ZIP 内の BCF ファイルのパスを指定します。
使用例
-
RecentFileCache.bcf ファイルを照会
recent-file-cache /opt/logpresso/evidence/RecentFileCache.bcf指定したパスの BCF ファイルからすべての実行プログラムパスを照会します。
-
ZIP ファイル内の BCF ファイルを照会
recent-file-cache zippath=/opt/logpresso/evidence/artifacts.zip RecentFileCache.bcfZIP ファイル内の
RecentFileCache.bcfファイルから実行プログラムパスを照会します。 -
特定パスパターンでフィルタリング
recent-file-cache /opt/logpresso/evidence/RecentFileCache.bcf | search file_path == "*\\AppData\\*"ユーザーの AppData ディレクトリから実行されたプログラムのみをフィルタリングします。