Проблема: Обнаружение следов вредоносной активности, несанкционированного доступа или неавторизованных изменений в системе через историю установки/удаления программ.

Причины:
- Злоумышленники маскируют бэкдоры под легитимные приложения или удаляют следы ПО после использования.
- Внутренние угрозы (инсайдеры) скрывают установку шпионского/кейлоггерного софта.
- Нарушение политик ИБ: пользователи устанавливают неавторизованные приложения, нарушающие изоляцию данных.
- Форензика атак: после инцидента злоумышленник может удалить инструменты, но остаются артефакты (записи в EventLog, реестре, логах пакетных менеджеров).

Решение:
1. Windows: Анализируйте журналы `Setup.evtx`, `AppLocker`, `Windows Installer (MSI)`, `Sysmon Event ID 7 (Image loaded)` и `Event ID 4688 (Process creation)`.
Команды:
powershell
Get-WinEvent -LogName "Microsoft-Windows-Application-Experience/Program-Inventory" | Select-Object TimeCreated, Message

   Get-WmiObject Win32_Product | Where-Object {$_.InstallDate -ne $null}   # скрытые установки (но медленно)

Проверяйте `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall` и `HKLM\SOFTWARE\WOW6432Node\...` — ключи с `InstallDate`, `Publisher`, `DisplayName`. Сравнивайте с эталонным списком разрешённого ПО.

2. Linux: Журналы `dpkg.log` (DEB), `rpm -qa` (RPM), `yum history`, `/var/log/apt/history.log`.
Команды:
bash
grep " install " /var/log/dpkg.log   # последние установки

   ausearch -m AVC -c rpm   # если SELinux/Auditd активен

Ищите аномалии: нестандартное время установки (например, пакеты, установленные через `cron`), несоответствие хешей (проверка через `dpkg --audit` или `rpm -Va`).

3. MacOS: `install.log` (в Console.app), `/Library/Receipts/`, `pkgutil --pkgs`.
Команда:
bash
pkgutil --pkgs | xargs -I {} sh -c 'echo "{} $(pkgutil --pkg-info "{}" | grep install-date)"'


4. Анализ удалений:
- Windows: `Setup.evtx` содержит записи об удалении (Event ID 1033, 1034).
- Linux: `grep " remove " /var/log/dpkg.log`.
- Сравните временные метки удаления с действиями пользователя (по журналам входа/активности). Обнаружение пакетов, удалённых сразу после входа учётной записи.

5. Кросс-валидация:
- Сверяйте списки установленного ПО с записями в `Prefetch`, `AppCompatCache`, `Amcache.hve` (Windows) — там могут остаться следы даже после удаления.
- Ищите скрытые процессы (sysinternals Autoruns) — установленные драйверы/сервисы.

Критический артефакт: Логи установки через `msiexec /quiet` часто не имеют GUI-следов, но оставляют записи в `%TEMP%\MSI*` и ключи `HKCU\...\Installer\Folders`.