Durdurulduklarında hangi programların çalıştığını nasıl öğrenebilirim?
Varsayılan olarak, hangi programların çalıştırıldığına dair hiçbir günlük yoktur.
Ancak, etkinleştirebilirsiniz Süreç İzleme Olaylar içinde Windows Güvenlik olay günlüğüne (talimatlar için aşağıya bakınız) ve bu bilgiler daha sonra gelecekte size sunulacak.
İşlem İzleme Olayları etkinleştirildikten sonra, olayları incelemek için aşağıdaki Powershell komutlarını kullanabilirsiniz:
İşlem Başlangıcı:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
İşlem Durdurma:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
Yukarıdaki komutlar olay bilgilerini ekrana döker.
Windows Güvenlik Günlüğünde İşlem İzleme Olayları Nasıl Kullanılır
Windows 2003 / XP'de bu olayları yalnızca İşlem İzleme denetim ilkesini etkinleştirerek alırsınız.
Windows 7/2008 + 'da, Grup İlkesi nesnelerinde Gelişmiş Denetim İlkesi Yapılandırması altında bulacağınız Denetim Süreci Oluşturma ve isteğe bağlı olarak Denetim Süreci Sonlandırma alt kategorilerini etkinleştirmeniz gerekir.
Bu olaylar inanılmaz derecede değerlidir, çünkü sistemdeki herhangi bir yürütülebilir dosya bir işlem olarak başlatıldığında kapsamlı bir denetim izi sağlarlar . Her iki olayda bulunan İşlem Kimliğini kullanarak işlem oluşturma olayını işlem sonlandırma olayına bağlayarak sürecin ne kadar sürdüğünü bile belirleyebilirsiniz. Her iki olaya ilişkin örnekler aşağıda gösterilmiştir.
Kaynak Windows Güvenlik Günlüğünde İşlem İzleme Olaylarını Kullanma
Denetim Süreci Oluşturma nasıl etkinleştirilir
Gpedit.msc dosyasını çalıştırın
"Windows Ayarları"> "Güvenlik Ayarları"> "Yerel İlkeler"> "Denetim İlkesi" ni seçin
"Denetim takibi" ni sağ tıklayın ve "Özellikler" i seçin
"Başarılı" seçeneğini işaretleyin ve "Tamam" ı tıklayın
Denetim Süreci Takibi nedir
Bu güvenlik ayarı, işletim sisteminin süreç oluşturma, işlem sonlandırma, tanıtıcı çoğaltma ve dolaylı nesne erişimi gibi süreçle ilgili olayları denetleyip denetlemediğini belirler.
Bu ilke ayarı tanımlanmışsa, yönetici yalnızca başarıların, yalnızca başarısızlıkların, hem başarıların hem de başarısızlıkların denetlenip denetlenmeyeceğini ya da bu olayların hiç denetlenmeyeceğini (örneğin, ne başarılar ne de başarısızlıklar) belirleyebilir.
Başarı denetimi etkinleştirilirse, işletim sistemi bu işlemle ilgili etkinliklerden birini her gerçekleştirdiğinde bir denetim girişi oluşturulur.
Hata denetimi etkinse, işletim sistemi bu etkinliklerden birini gerçekleştiremediğinde bir denetim girişi oluşturulur.
Varsayılan: Denetim yok
Önemli: Denetim ilkeleri üzerinde daha fazla denetim için, Gelişmiş Denetim İlkesi Yapılandırma düğümündeki ayarları kullanın. Gelişmiş Denetim İlkesi Yapılandırması hakkında daha fazla bilgi için, bkz
http://go.microsoft.com/fwlink/?LinkId=140969 .
Nirsoft'tan ExecutedProgramList'e ne dersiniz? Bunu kullanabilir miyim?
ExecutedProgramList yürütülen programların tam listesini vermez.
Örneğin, şu anda thumbdrive'ımdan çalıştırdığım taşınabilir programları listelemiyor, örneğin Agent, Notepad ++, GSNotes ve son yeniden başlatmamdan beri çalıştırdığım hemen hemen her Cygwin programı.
Bağlantıda belirtilen konumlara hiçbir şey yazmayan hiçbir programı listelemez:
Önceden yürütülen programların listesi aşağıdaki veri kaynaklarından toplanır:
- Kayıt Defteri Anahtarı:
HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- Kayıt Defteri Anahtarı:
HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- Kayıt Defteri Anahtarı:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- Kayıt Defteri Anahtarı:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- Windows Prefetch klasörü (C: \ Windows \ Prefetch)
Kaynak ExecutedProgramList
Daha fazla okuma