Technologieführer

Kürzlich geöffnete Dateien in Windows anzeigen

6 min read Windows Tools Aktualisiert 13 Oct 2025
Kürzlich geöffnete Dateien in Windows anzeigen
Kürzlich geöffnete Dateien in Windows anzeigen

Schnellzugriff

  • Was ist Open Save Files View?
  • Herunterladen des Programms
  • Verwendung von OSFV
  • Exportieren von Beweisdaten
  • Sprachoptionen
  • Alternative Methoden und Prüfchecklisten

Was ist Open Save Files View?

Open Save Files View (kurz OSFV) ist ein portables Hilfsprogramm von NirSoft. Es liest die Windows‑MRU‑Schlüssel (Most Recently Used) aus der Registry — insbesondere die Schlüssel

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

und zeigt eine strukturierte Liste der zuletzt geöffneten Dateien an. Kurzdefinition: MRU = Liste zuletzt verwendeter Einträge.

Welche Informationen OSFV anzeigt (Kurzliste):

  1. Dateiname
  2. Dateityp/Dateierweiterung
  3. Reihenfolge bzw. Sortierung nach zuletzt geöffnet
  4. Zeitpunkt der letzten Öffnung pro Format
  5. Erstellungs- und Änderungszeitpunkt
  6. Dateigröße
  7. Dateiattribute (z. B. schreibgeschützt, versteckt)

Wichtig: OSFV selbst verändert keine Registry‑Einträge — es liest nur aus. Das macht das Tool geeignet für schnelle Audits und erste Forensik‑Checks.

Herunterladen des Programms

  1. Besuchen Sie die offizielle NirSoft‑Seite für Open Save Files View.
  2. Wählen Sie je nach Betriebssystem die 32‑Bit‑ oder 64‑Bit‑Version.
  3. Speichern Sie die ZIP‑Datei.
  4. Legen Sie auf dem Desktop einen Ordner namens OSFV an und entpacken Sie die ZIP‑Datei dort.

Hinweis: NirSoft‑Utilities sind portabel — eine Installation ist nicht erforderlich. Trotzdem: Laden Sie nur vom offiziellen NirSoft‑Server, um Manipulationen zu vermeiden.

OSFV 2

Verwendung von OSFV

  1. Öffnen Sie den Ordner OSFV auf dem Desktop.
  2. Starten Sie die Datei OpenSaveFilesView.exe durch Doppelklick.
  3. Das Programm lädt automatisch die Einträge und zeigt die Liste an.

OSFV 3

Wichtig: Wenn Sie das Programm unter einem anderen Benutzerkonto ausführen möchten, müssen Sie es mit diesem Benutzer starten oder dessen Registry‑Hives mounten.

Kürzlich geöffnete Dokumente anzeigen

Beispiel‑Workflow: Sie vermuten, dass jemand auf Ihrem PC Dateien geöffnet hat. So finden Sie die jüngsten Aktivitäten heraus:

  1. Klicken Sie im OSFV‑Fenster auf die Spalte “Open Time” zweimal, sodass der Pfeil nach unten zeigt (Absteigend).
  2. Die Liste sortiert sich nun nach dem letzten Öffnungszeitpunkt — oben stehen die jüngsten Dateien.

OSFV 4

Die Ansicht zeigt Dateitypen und Reihenfolge: z. B. Bilddateien, Textdateien, Word‑Dokumente, Video‑Dateien.

Nach Änderungen filtern (Beweis: Datei wurde nicht verändert)

  1. Klicken Sie auf die Spalte “File Modified Time” bis der Pfeil nach unten zeigt.
  2. Wählen Sie einzelne Dateien mit Strg‑Klick aus (z. B. .tif und das erste Word‑Dokument), um nur diese Einträge zu markieren.

OSFV 5

  1. Um auch eine Datei zu markieren, die zuletzt geöffnet wurde (z. B. eine .flv‑Datei), halten Sie Strg gedrückt und wählen die Datei an.

OSFV 6

Exportieren der Auswahl als Beweismittel

  1. Nachdem die gewünschten Dateien markiert sind, klicken Sie auf die Schaltfläche Speichern (Save).
  2. Wählen Sie Speicherort und Dateinamen (Standard: Anwendungspfad). Beispielname: “Evidence.txt”.

OSFV 7

  1. Öffnen Sie die Textdatei zur Ansicht — jede Zeile enthält die Metadaten zur jeweils exportierten Datei.

OSFV 8

Hinweis: Bewahren Sie exportierte Beweisdaten manipulationssicher auf (Schreibschutz, Prüfsumme).

Sprachoptionen

OSFV bietet zusätzliche Sprachdateien (z. B. Niederländisch, Deutsch, Griechisch, Russisch). Vorgehen:

  1. Laden Sie die gewünschte .zip‑Sprache von der NirSoft‑Seite.
  2. Entpacken Sie die Datei opensavefilesview_lng.ini in den OSFV‑Ordner auf dem Desktop.
  3. Starten Sie OpenSaveFilesView.exe neu — die Oberfläche erscheint in der gewählten Sprache.

OSFV 9

Um zur Standard‑Sprache (Englisch) zurückzukehren, löschen Sie die Datei opensavefilesview_lng.ini aus dem OSFV‑Ordner und starten die EXE neu.

OSFV 10

Bildnachweis: Theen Moy auf Flickr

Alternative Methoden und Ergänzungen

OSFV ist praxisnah, reicht aber nicht immer aus. Hier einige alternative Ansätze und Ergänzungen:

  • Windows ‚Zuletzt verwendete Dateien‘ (Ordner %AppData%\Microsoft\Windows\Recent).
  • Jump Lists in der Taskleiste (versteckte Sprunglisten‑MRUs).
  • Direkter Registry‑Auszug aus den oben genannten Schlüsseln für komplexere Analysen.
  • PowerShell‑Skripte, um Recent‑Ordner und Dateizeitstempel automatisch zu sammeln.

Mini‑Cheat‑Sheet (PowerShell‑Beispiele):

# Liste der letzten Dateien aus dem 'Recent'-Ordner
Get-ChildItem -Path $env:APPDATA\Microsoft\Windows\Recent -Force -Recurse |
  Select-Object Name,FullName,LastWriteTime | Sort-Object LastWriteTime -Descending | Select-Object -First 200

# Einfacher Export der Dateiliste in eine CSV
Get-ChildItem -Path $env:APPDATA\Microsoft\Windows\Recent -Force -Recurse |
  Select-Object Name,FullName,LastWriteTime | Export-Csv -Path C:\Users\Public\recent_files.csv -NoTypeInformation

Registry‑Pfad für Experten (Lesen, nicht Schreiben):

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Öffnen Sie die Registry nur mit Kenntnis — Änderungen können das Systemverhalten beeinflussen.

Forensische Mini‑Methodologie (kurz)

  1. Dokumentieren Sie Ausgangszustand (Screenshots, Uhrzeit, Benutzerkonto).
  2. Führen Sie OSFV aus und exportieren Sie die Liste als Text/CSV.
  3. Sammeln Sie ergänzende Artefakte: Recent‑Ordner, Jump Lists, Browser‑History.
  4. Erstellen Sie Prüfsummen (z. B. SHA256) der Exportdateien und des ursprünglichen Exports zur Integritätsprüfung.
  5. Bewahren Sie alle Dateien unverändert auf und dokumentieren Sie jede Handlung.

Wichtig: Änderungen an einem System können Einträge aktualisieren — führen Sie Aktionen möglichst in der richtigen Reihenfolge durch oder arbeiten Sie an einem forensischen Image.

Rollenspezifische Checklisten

Administrator:

  • Sicheres Kopieren des OSFV‑Ordners an einen geschützten Speicherort.
  • Export der OSFV‑Liste mit Prüfsummen.
  • Extraktion relevanter Registry‑Keys (nur lesen).

Endanwender:

  • OSFV starten und einfache Sortierung nach “Open Time” prüfen.
  • Exportieren und Screenshot als Notiz für persönlichen Gebrauch.

Untersuchender/Forensiker:

  • Vollständiges Forensik‑Image erstellen, wenn möglich.
  • OSFV‑Export in Prüfumgebung durchführen.
  • Cross‑Validierung mit Recent‑Ordner, Jump Lists und Logfiles.

Akzeptanzkritierien / Testfälle

  • OSFV startet ohne Installation auf 32‑/64‑Bit‑Windows.
  • Liste zeigt Dateinamen, Öffnungszeit und Änderungszeit an.
  • Export erzeugt lesbare, vollständige Textdatei mit ausgewählten Einträgen.
  • Nach Installation einer Sprachdatei erscheint die Oberfläche in der gewählten Sprache.

Wann OSFV nicht ausreicht (Gegenbeispiele)

  • Wenn Sie vollständige forensische Integrität eines Systems benötigen (Image & Stunden‑/Prozess‑Logs), reicht OSFV allein nicht aus.
  • Wenn Dateien über Netzwerkpfade oder Wechseldatenträger geöffnet wurden und keine lokalen MRU‑Einträge existieren.
  • Bei manipulierten Registry‑Einträgen (z. B. durch Anti‑Forensik) muss tiefer recherchiert werden.

Entscheidungsbaum (kurz)

flowchart TD
  A[Problem definieren] --> B{Benötigen Sie
  forensische Integrität?}
  B -- Ja --> C[Erstelle Forensik‑Image; nutze professionelle Tools]
  B -- Nein --> D[OSFV ausführen und exportieren]
  D --> E{Fehlen Einträge?}
  E -- Ja --> F[Prüfe Recent‑Folder, Jump Lists, Registry]
  E -- Nein --> G[Bericht erstellen und Beweise sichern]

Sicherheit, Datenschutz & rechtliche Hinweise

  • Der Zugriff auf MRU‑Daten kann personenbezogene Informationen enthalten. Beachten Sie Datenschutzbestimmungen (z. B. DSGVO) bei Weitergabe.
  • Holen Sie, wenn erforderlich, Zustimmung ein oder arbeiten im Rahmen gesetzlicher Erlaubnis (z. B. Unternehmensrichtlinien oder Gerichtsbeschluss).
  • Vermeiden Sie unnötige Änderungen am Quellsystem; sichern Sie stattdessen Kopien der Artefakte.

Kurze Zusammenfassung

  • OSFV ist ein schnelles, portables Tool, um zuletzt geöffnete Dateien in Windows anzuzeigen und zu exportieren.
  • Es greift auf bekannte MRU‑Registry‑Schlüssel zu und zeigt Dateimetadaten an.
  • Für tiefere Analysen ergänzen Sie OSFV mit PowerShell, Registry‑Auszügen und Forensik‑Imaging.

Wichtig: Verwenden Sie OSFV als Teil eines strukturierten Vorgehens — dokumentieren Sie Schritte und sichern Sie Exporte mit Prüfsummen.

Bildnachweis: Theen Moy auf Flickr

Teilen: X/Twitter Facebook LinkedIn Telegram
Autor
Redaktion

Ähnliche Materialien

Podman auf Debian 11 installieren und nutzen
DevOps

Podman auf Debian 11 installieren und nutzen

Apt-Pinning: Kurze Einführung für Debian
Systemadministration

Apt-Pinning: Kurze Einführung für Debian

FSR 4 in jedem Spiel mit OptiScaler
Grafikkarten

FSR 4 in jedem Spiel mit OptiScaler

DansGuardian + Squid (NTLM) auf Debian Etch installieren
Netzwerk

DansGuardian + Squid (NTLM) auf Debian Etch installieren

App-Installationsfehler auf SD-Karte (Error -18) beheben
Android

App-Installationsfehler auf SD-Karte (Error -18) beheben

Netzwerkordner mit KNetAttach in KDE
Linux Netzwerk

Netzwerkordner mit KNetAttach in KDE