## Background Activity Moderator (BAM)
> BAM是一个控制后台应用程序活动的Windows服务,该服务存在于windows10 version 1709及以后版本中
注册表路径为:
**注**:记录实时更新,数据无加密
“`
HKLM\SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
“`
记录包含了程序路径和上次执行日期和时间,其中执行日期键值类型为`FILETIME(64bit little Endian)`
执行时间提取:以`winrar`为例子
把`filetime`转化为`datetime`
“`bash
from __future__ import division
import struct
import sys
from binascii import unhexlify
from datetime import datetime, timedelta
nt_timestamp = struct.unpack(“
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容