Регистрирует ли Windows программы, которые были запущены / вызваны?

31

В Windows есть журнал, который записывает, какие программы запускались / вызывались?

Просматривая Интернет, просматривая статическую страницу без рекламы, щелчков мышью, нажатий клавиш или других запущенных плагинов / надстроек / скриптов, я только что увидел, как спонтанно открылась консоль CMD.exe, а затем сразу же закрылась во флэш-памяти, достаточно быстро, чтобы я я не мог ничего видеть в окне - и без видимых сенсаций с моей стороны.

Мне интересно, есть ли какой-либо тип журнала Windows, который показывает, какие программы были запущены / вызваны / активированы? Я хотел бы увидеть, что происходило за кулисами, когда вспыхнуло это окно консоли, и, надеюсь, определить, что это не что-то мошенническое.

Для справки, я использую Windows 7 Ultimate x64.

windows-7 windows command-line logging event-log Coldblackice
источник
Это было при запуске или вы что-то устанавливали?
Jan Doggen
Я просто просматривал Интернет - и даже не так активно. Я читал статическую веб-страницу, которая уже была загружена, без кликов, нажатий клавиш или запросов. Сейчас я редактирую вопрос, чтобы улучшить его, так как я действительно спрашиваю, есть ли какой-то тип журнала запусков / инициаций программы, и в частности, командной строки.
Coldblackice
Попробуйте посмотреть в окне просмотра событий Windows.
stderr
@JanDoggen Это было в середине дня, рядом не было ни запуска, ни выключений, ни перезагрузок, ни установок. Я просто читал в своем браузере на уже загруженной странице со всеми отключенными всплывающими окнами / рекламными объявлениями / сценариями, без запланированных проверок и обновлений вирусов. Кроме того, я мог видеть, что это было окно командной строки, которое вспыхнуло и затем исчезло.
Coldblackice
1
Просто столкнулся с подобной проблемой и столкнулся с вашим вопросом, вы узнали, что это было?
uncle Lem

Ответы:

26

Вы не сможете проверить, что бежало, но вы можете подготовиться к следующему разу. Если вы откроете secpol.msc ты можешь пойти в local policies/audit policy, активировать Success (а может и Failure ) на Audit process tracking и вы будете получать запись журнала событий в журнале событий безопасности каждый раз, когда процесс начинается или заканчивается. К сожалению, вы увидите запущенный процесс, но не командную строку, с которой он был запущен.

Если вы активируете аудит, может появиться много журналов, поэтому вы должны отрегулировать размер журнала событий безопасности.

Вы можете получить доступ к журналам с eventvwr.msc, Протоколы Windows, безопасность.

Werner Henze
источник
Если я не увижу командную строку, то что я увижу?
Dims
@Dims Если «notepad myfile.txt» был запущен, вы увидите «блокнот», но не «myfile.txt».
Werner Henze
@WernerHenze, в любом случае сделать это на домашнем компьютере? ... Виндоус не может найти secpol.msc
Pacerier
@Pacerier Какая версия / издание для Windows?
Werner Henze
где находятся журналы?
tisaconundrum
10

Марк Руссинович Сисинтерналс Монитор процесса делает это Среди отслеживания доступа к файлу / reg / network, он может отслеживать время жизни proc / thread и обеспечивает большую фильтрацию.

Val
источник
1
Должно ли это быть запущено для захвата процесса, который открылся? Или он может сообщать время жизни потока независимо от отслеживания Procmon?
Coldblackice
Что "это" не зависит от pmon? Вы имеете в виду мониторинг без монитора? Как вы себе это представляете?
Val
1
Что я имел в виду - нужно ли было запускать Process Monitor для отслеживания времени жизни процесса / потока или он хранится глобально независимо от Process Monitor?
Coldblackice
2
Монитор процессов - это то, что он говорит - монитор. Это не Windows Log Viewer. Он внедряет некоторые драйверы в основные функции Windows и регистрирует их вызовы. Вы не можете контролировать без монитора. ОК?
Val
1
К сожалению, я перепутал Process Monitor с Process Explorer - Process Explorer может видеть время запуска / выполнения процесса, не будучи активным (мониторинг), когда соответствующая программа была впервые запущена. Я думал, что это Process Explorer, о котором вы говорите. Благодарю.
Coldblackice
2

Возможно, это была запланированная задача. Проверьте планировщик задач для задач.

Вы также можете проверить Event Viewer на что-нибудь, хотя он, вероятно, ничего не будет иметь.


источник
-2

Тоже самое Windows 7 Ultimate x64 (испанский).

Я обнаружил, что виновником является: C: \ Program Files (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Видимо, это ошибка Know.

Jorge Ramirez
источник
Вероятно, это не та проблема, с которой столкнулся оригинальный автор, однако, когда я включил ведение журнала аудита для процессов (как предложил Вернер Херце), оказалось, что это была проблема в моем случае. По состоянию на май 2017 года это должно быть исправлено в будущем обновлении Windows "в ближайшее время". Если проблема сохраняется после обновления Windows (и вы из будущего), это, вероятно, не ваша проблема.
user2711915