Windows çalıştırılan / çağrılan programları günlüğe kaydeder mi?

36

Windows'ta hangi programların çalıştırıldığını / çağrıldığını kaydeden bir günlük var mı?

İnternette gezinirken, reklamsız, fare tıklamaları, tuş basmaları veya çeşitli eklentiler / eklentiler / kodlar çalıştıran statik bir sayfa görüntülerken, spontan bir CMD.exe konsolu açılırken hemen açıldı ve sonra hemen bir flaşla kapattım. pencerede hiçbir şey göremedim - ve benim açımdan belirgin bir tetikleme olmadan.

Hangi programların çalıştırıldığını / çağrıldığını / aktive edildiğini gösteren bir tür Windows günlüğü olup olmadığını merak ediyorum? Bu konsol penceresi parladığında sahne arkasında neler olup bittiğini görmek isterdim ve umarım haydut bir şey olmadığını tespit ederim.

Başvuru için, Windows 7 Ultimate x64 kullanıyorum.

windows-7  windows  command-line  logging  event-log 
Coldblackice
kaynak
Bu başlangıçta mıydı yoksa bir şey mi yüklediniz?
Jan Doggen
Sadece internette dolaşıyordum - ve aktif olarak bile değil. Yüklenmiş statik bir web sayfasını okuyordum, tıklama, tuş basma ya da dosyalama istekleri olmadan. Soruyu düzeltmek için şimdi düzenliyorum, çünkü gerçekten bir tür program çalıştırması / başlatması günlüğü olup olmadığını ve özellikle de bir komut istemi olup olmadığını soruyorum.
Coldblackice
Windows olay görüntüleyicide görmeyi deneyin.
stderr
@JanDoggen Günün ortasında, herhangi bir başlangıç, kapanma, yeniden başlatma veya kurulumun yakınında değildi. Tarayıcımda daha önce yüklenen bir sayfada okudum, virüs taraması / güncelleme yapılmayan tüm açılır pencereler / reklamlar / komut dosyaları devre dışı bırakıldı. Ek olarak, yanıp sönen ve sonra kaybolan bir komut istemi penceresi olduğunu görebiliyordum.
Coldblackice
1
Sadece benzer bir sorunla karşı karşıya kaldık ve sorunuzla karşılaştınız, bunun ne olduğunu öğrendiniz mi?
Lem Amca

Yanıtlar:

29

Neyin koştuğunu kontrol edemezsiniz, ancak bir dahaki sefere hazırlanabilirsiniz. Eğer açarsanız secpol.mscgidebilirsiniz local policies/audit policy. Etkinleştir Success(ve belki de Failure) özelliğini etkinleştirdiğinizde Audit process tracking, bir işlem başladığında veya bittiğinde güvenlik olay günlüğünde bir olay günlüğü girişi alırsınız. Maalesef, çalıştırılan ancak başlatıldığı komut satırını göstermediğiniz işlemi göreceksiniz.

Denetimi etkinleştirirseniz, çok sayıda günlük oluşturulabilir, bu nedenle güvenlik olay günlüğünün boyutunu ayarlamanız gerekir.

Günlüklere eventvwr.msc, Windows protokolleri, Güvenlik ile erişebilirsiniz .

Werner Henze
kaynak
Komut satırını göremezsem ne göreceğim?
Dim
@Dims Eğer "notepad myfile.txt" başlatılmışsa "notepad" göreceksiniz, ancak "myfile.txt" ifadesini görmeyeceksiniz.
Werner Henze
@WernerHenze, Herneyse, bunu bir ev bilgisayarında mı yapacaksın? ... Windows bulamıyorsecpol.msc
Pacerier
@Pacerier Hangi Windows sürümü / sürümü?
Werner Henze,
Günlükler nerede bulunur?
tisaconundrum
10

Mark Russinovich Sysinternals Process Monitor bunu yapıyor. Dosya / reg / network erişimlerini takip ederken, proc / thread ömrünü takip edebilir ve çok fazla filtreleme sağlar.

Val
kaynak
1
Açılan bir işlemi yakalamak için bunun çalışıyor olması gerekir miydi? Veya Procmon'un izlemesinden bağımsız olarak iş parçacığı ömrünü rapor edebilir mi?
Coldblackice
Hangi "bu" pmondan bağımsız? Monitörsüz izleme mi demek istiyorsun? Bunu nasıl hayal ediyorsunuz?
Val
1
Ne kastediyordum - İşlem İzleyicisinin proc / thread ömrünü takip etmek için çalışıyor olması gerekir miydi, yoksa Global olarak Monitor Monitor'den bağımsız olarak depolanıyor mu?
Coldblackice
2
İşlem Monitörü ne diyorsa - bir monitör. Windows Günlük Görüntüleyici değil. Bazı sürücüleri Windows çekirdek fonksiyonlarına enjekte eder ve kendi aramalarını kaydeder. Monitör olmadan izleyemezsiniz. Tamam?
Val
1
Hata! İşlem İzleyicisi'ni İşlem Gezgini ile karıştırıyordum - İşlem Gezgini, ilgili program ilk başlatıldığında etkin (izleme) olmadan işlem başlatma / çalışma zamanlarını görebilir. Bahsettiğiniz işlem Explorer olduğunu düşündüm. Teşekkürler.
Coldblackice
2

Çalışan zamanlanmış bir görev olabilir. Görevler için Görev Zamanlayıcı'yı kontrol edin.

Ayrıca Olay Görüntüleyicisini herhangi bir şey için de kontrol edebilirsiniz, ancak muhtemelen hiçbir şey olmayacaktır.

-2

Burada aynı Windows 7 Ultimate x64 (İspanyolca).

Suçlu olduğunu öğrendim: C: \ Program Files (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Görünüşe göre bu bir Know hatadır.

Jorge Ramirez
kaynak
Orijinal posterin karşılaştığı sorun muhtemelen bu değildir, ancak süreçler için denetim günlüğünü etkinleştirdiğimde (Werner Herze tarafından önerildiği gibi) durumumun problemi olduğu ortaya çıktı. Mayıs 2017'den itibaren, gelecekteki bir Windows güncellemesinde "yakında" düzeltilmesi gerekiyor. Sorun, Windows'u güncelledikten sonra da devam ediyorsa (ve gelecekten geliyorsanız), bu muhtemelen sizin sorununuz değildir.
user2711915
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.