Допустим, вчера я выполнил 5 командных файлов, и теперь я хочу знать порядок выполнения файлов. Windows регистрирует выполнение, может быть, в журнале событий Windows или что-то? Или есть какая-нибудь сторонняя программа, которая делает это?
Это может быть полезно, если существует вредоносный пакетный файл, который был случайно выполнен пользователем или автоматически самим пакетным файлом, и мы хотим знать имя файла, где он находится, чтобы мы могли его удалить.
AFAIK Windows командной строки не имеют постоянной истории команд.
Вы можете попробовать Клинк. History persistence between sessions является одним из ее будущих.
Вы не указали, какую Windows вы используете, но ...
Вы можете попробовать Audit Policy аудита Windows: Политика Audit process tracking:
Этот параметр политики включает аудит подробной информации отслеживания таких событий, как активация программы, завершение процесса, дублирование обработки и косвенный доступ к объектам.
Аудит успеха генерирует событие, когда отслеживаемый процесс завершается успешно. Аудит отказов генерирует событие при сбое процесса.
Если вы включите отслеживание процессов аудита в Windows Vista и Windows Server 2003 с пакетом обновления 1 (SP1), Windows также будет регистрировать информацию о режиме работы и состоянии компонента брандмауэра Windows.
Если этот параметр включен, параметр отслеживания процесса аудита генерирует большое количество событий. Этот параметр политики обычно настроен на отсутствие аудита. Однако информация, генерируемая этим параметром политики, может быть очень полезной во время реагирования на инцидент, поскольку она предоставляет подробный журнал процессов, которые были запущены и когда они были запущены.
How to set up a file audit on Windows server? Ссылки могут быть хорошей отправной точкой для настройки Audit process tracking , но имейте в виду, что это может быть дорогостоящим процессором.
