Я искал в Google несколько поисковых запросов, пытаясь выяснить, регистрируется ли Windows, когда пользователь пытается запустить приложение, которое не занесено в белый список, и, если да, в каком журнале событий.

Может кто-нибудь пролить некоторый свет на это?

Отредактировано, чтобы добавить детали: я говорю о белом списке с исключениями из Политики ограниченного использования программ, созданной в редакторе групповой политики. Если у пользователя есть разрешение на запуск только двух исполняемых файлов (foo.exe и bar.exe) и он пытается запустить третий исполняемый файл (grapes.exe), будет ли эта попытка запустить третий исполняемый файл, и если да, то каков информация регистрируется, и где она регистрируется?

|источник

1 ответ1

0

Я не уверен, что вы подразумеваете под "белым списком" в Windows, но эта операционная система сохраняет файлы журналов при открытии программы.

Ниже приведен список некоторых каталогов в Windows с информацией журнала.

проводник Виндоус

Описание: недавно открытые файлы из проводника Windows. Расположение: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent Items Почему это важно: может быть полезно узнать, какие файлы были недавно открыты. Думаете, кто-то просматривает записи о растратах? Может быть, здесь есть указатель на файл Excel, который может привести вас к месту хранения данных. Вы также можете увидеть ссылки на видео и изображения здесь. Это приводило меня к личному смущению, когда я делал презентацию для ISSA. :) Вход: Irongeek, но благодаря Ниру.

Описание: элементы, недавно запущенные из панели "Выполнить" Расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Почему это важно: полезно знать, что работает человек, используя панель запуска Windows, но в Vista и Windows 7 Многие люди используют текстовое поле "Поиск программ и файлов", которое не отображается в этом разделе реестра. Вход: Irongeek, но благодаря Ниру.

Описание: расположение помощника пользователя: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist. Почему это важно но способ его хранения менее чем очевиден. У Дидье Стивенса есть инструмент для анализа данных здесь: http://blog.didierstevens.com/programs/userassist/ Версия, которую я тестировал, похоже, не работает в Windows 7, но г-н Стивенс в этом случае. Вход: Irongeek, но благодаря Ниру и Дидье Стивенсу.

Описание: Журналы событий Расположение: должно быть в C:\Windows\System32\config или C:\Windows\System32\winevt\ Журналы в зависимости от ОС. Почему это важно: их можно переместить, поэтому выполните поиск на рабочем столе для * .evt и * .evtx. Пусть вы знаете все виды вещей о том, что происходит на коробке. Вход по: Irongeek.

Эта информация была взята из Irongeeks, вы можете искать "UserAssist Didier Stevens", если вы хотите, чтобы программа с графическим интерфейсом для просмотра открытых программ.

Обратите внимание, что я не могу опубликовать ссылку на эти две вещи, потому что меня обвинят в спаме и продвижении сайта.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .