Диспетчер задач показывает программы, которые работают - как я могу увидеть те, которые были завершены?

Question

Как мне узнать, какие программы были запущены на моем компьютере, даже если они были остановлены до такой степени, что диспетчер задач не может ничего показать?

Я не использую свой компьютер один и иногда подозрительно.

Answer 1

Как мне узнать, какие программы были запущены, когда они были остановлены?

По умолчанию нет журналов того, какие программы были запущены.

Однако вы можете включить отслеживание процессов в журнале событий безопасности Windows (см. Инструкции ниже), и эта информация будет доступна вам в будущем.

Как только события отслеживания процессов включены, вы можете использовать следующие команды Powershell для проверки событий:

Начало процесса:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Остановка процесса:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

Приведенные выше команды выводят информацию о событии на экран.

---

Как использовать события отслеживания процессов в журнале безопасности Windows

В Windows 2003/XP вы получаете эти события, просто включив политику аудита отслеживания процессов.

В Windows 7/2008+ необходимо включить создание процесса аудита и, при необходимости, подкатегории завершения процесса аудита, которые вы найдете в разделе «Расширенная настройка политики аудита» в объектах групповой политики.

Эти события невероятно ценны, потому что они дают исчерпывающий контрольный журнал каждый раз, когда любой исполняемый файл в системе запускается как процесс. Вы даже можете определить, как долго выполняется процесс, связав событие создания процесса с событием завершения процесса, используя идентификатор процесса, найденный в обоих событиях. Примеры обоих событий приведены ниже.

Источник Как использовать события отслеживания процессов в журнале безопасности Windows

---

Как включить создание процесса аудита

1. Запустите gpedit.msc

   • Примечание. К сожалению, редактор групповой политики не включен в версии Windows для начинающих, версии Home и Home Premium.
   • Смотрите мой ответ Как мне установить gpedit.msc в Windows Starter Edition, Home и Home Premium? для инструкций по установке.

2. Выберите "Настройки Windows"> "Настройки безопасности"> "Локальные политики"> "Политика аудита"

   

3. Щелкните правой кнопкой мыши "Аудит отслеживания процессов" и выберите "Свойства"

4. Проверьте "Успех" и нажмите "ОК"

   

---

Что такое отслеживание процессов аудита

Этот параметр безопасности определяет, будет ли ОС проверять связанные с процессом события, такие как создание процесса, завершение процесса, обработка дублирования и косвенный доступ к объектам.

Если этот параметр политики определен, администратор может указать, следует ли проверять только успехи, только неудачи, как успехи, так и неудачи, или вообще не проверять эти события (т.е. ни успехи, ни неудачи).

Если включен Аудит успеха, запись аудита создается каждый раз, когда ОС выполняет одно из этих действий, связанных с процессом.

Если аудит отказа включен, запись аудита создается каждый раз, когда ОС не может выполнить одно из этих действий.

По умолчанию: без аудита

Важное замечание: Для большего контроля над политиками аудита используйте параметры в узле Конфигурация расширенной политики аудита. Для получения дополнительной информации о конфигурации расширенной политики аудита см. Http://go.microsoft.com/fwlink/?LinkId=140969.

---

Что насчет ExecutedProgramList от Nirsoft? Могу ли я использовать это?

ExecutedProgramList не дает полный список программ, которые были выполнены.

Например, в нем не перечислены какие-либо из переносимых программ, которые я в данный момент запускаю с моего флэш-накопителя, например, Agent, Notepad++, GSNotes, а также почти все программы Cygwin, которые я запускал со времени моего последнего перезапуска.

В нем не будет ни одной программы, которая ничего не записывает в места, указанные в ссылке:

Список ранее выполненных программ собран из следующих источников данных:

• Раздел реестра: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• Раздел реестра: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
• Раздел реестра: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
• Раздел реестра: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
• Папка предварительной загрузки Windows (C:\Windows\Prefetch)

Source ExecutedProgramList

---

Дальнейшее чтение

• Энциклопедия журнала безопасности Windows
• Используйте PowerShell для выполнения автономного анализа журналов безопасности
• Использование командлета Get-Eventlog
• Используйте командлет PowerShell для фильтрации журнала событий для простого анализа
• Простой журнал событий с помощью PowerShell

Answer 2

Nirsoft имеет небольшое бесплатное приложение ExecutedProgramList, которое показывает список программ и командных файлов, которые выполняются в вашей системе. Обратите внимание, что он не всегда может показать время последнего запуска приложения из-за ограничений, присущих Windows, и, как упомянул @DavidPostill, он может пропустить переносимые приложения.

Он извлекает информацию из Windows, поэтому не нужно запускать его для составления списка.

Answer 3

История процессов также делает это. Это бесплатная и переносимая база данных процессов.

Это простая портативная .zip загрузка. На сайте загрузки есть руководство о том, как использовать его с видео.

Пока запущена история процессов, вы можете запрашивать процессы, завершившиеся через отдельный графический интерфейс.

Он будет работать на любой версии Windows от XP.

(Я являюсь автором этого программного обеспечения с открытым исходным кодом.)