31

В Windows есть журнал, который записывает, какие программы были запущены / вызваны?

Просматривая Интернет, просматривая статическую страницу без рекламы, щелчков мышью, нажатий клавиш или других запущенных плагинов / надстроек / скриптов, я только что увидел, как спонтанно открылась консоль CMD.exe, а затем сразу же закрылась во флэш-памяти, достаточно быстро, чтобы я Я не мог ничего видеть в окне - и без видимых сработавших с моей стороны.

Мне интересно, есть ли какой-либо тип журнала Windows, который показывает, какие программы были запущены / вызваны / активированы? Мне бы хотелось увидеть, что происходило за кулисами, когда вспыхнуло это окно консоли, и, надеюсь, определить, что это не что-то мошенническое.

Для справки, я использую Windows 7 Ultimate x64.

|источник

4 ответа4

26

Вы не сможете проверить, что бежало, но вы можете подготовиться к следующему разу. Если вы откроете secpol.msc вы можете перейти к local policies/audit policy . Активируйте Success (и, возможно, также Failure) при Audit process tracking и вы будете получать запись журнала событий в журнале событий безопасности каждый раз, когда процесс начинается или заканчивается. К сожалению, вы увидите запущенный процесс, но не командную строку, с которой он был запущен.

Если вы активируете аудит, может появиться много журналов, поэтому вы должны отрегулировать размер журнала событий безопасности.

Вы можете получить доступ к журналам с помощью eventvwr.msc , протоколов Windows, Security.

|источник
10

Марк Руссинович Sysinternals Process Monitor делает это. Среди отслеживания доступа к файлу /reg /network, он может отслеживать время жизни proc /thread и обеспечивает большую фильтрацию.

|источник
2

Возможно, это была запланированная задача. Проверьте планировщик задач для задач.

Вы также можете проверить Event Viewer на что-нибудь, хотя он, вероятно, ничего не будет иметь.

|источник
-2

То же самое здесь Windows 7 Ultimate x64 (испанский).

Я обнаружил, что виновником является: C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe

Видимо, это ошибка Know.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .