Windows có đăng nhập các chương trình đã được chạy / gọi không?

36

Trong Windows, có nhật ký ghi lại những chương trình đã được chạy / gọi không?

Trong khi duyệt internet, xem một trang tĩnh không có quảng cáo, nhấp chuột, nhấn phím hoặc plugin / addons / script linh tinh đang chạy, tôi chỉ thấy một bảng điều khiển CMD.exe tự động bật mở và ngay lập tức đóng lại trong nháy mắt, đủ nhanh để tôi không thể nhìn thấy bất cứ thứ gì trong cửa sổ - và không có sự kích hoạt rõ ràng nào từ phía tôi.

Tôi tự hỏi nếu có một số loại nhật ký Windows cho thấy các chương trình đã được chạy / gọi / kích hoạt? Tôi muốn xem những gì đang xảy ra đằng sau hậu trường khi cửa sổ giao diện điều khiển này nhấp nháy và hy vọng xác định đó không phải là thứ gì đó bất hảo.

Để tham khảo, tôi đang chạy Windows 7 Ultimate x64.

windows-7  windows  command-line  logging  event-log 
Coldblackice
nguồn
Đây có phải là khi khởi động hoặc bạn đã cài đặt một cái gì đó?
Jan Doggen
Tôi chỉ đơn thuần là duyệt internet - và thậm chí không tích cực như vậy. Tôi đang đọc một trang web tĩnh đã được tải, không có nhấp chuột, nhấn phím hoặc yêu cầu nào được gửi. Bây giờ tôi đang chỉnh sửa câu hỏi để cải thiện nó, vì tôi thực sự đang hỏi liệu có một số loại nhật ký chạy / khởi tạo chương trình hay không, và cụ thể là một dấu nhắc lệnh.
Coldblackice
Hãy thử xem trong trình xem sự kiện của Windows.
stderr
@JanDoggen Đó là vào giữa ngày, không nơi nào gần bất kỳ phần khởi động, tắt máy, khởi động lại hoặc cài đặt. Tôi chỉ đọc trong trình duyệt của mình trong một trang đã được tải, với tất cả các cửa sổ bật lên / quảng cáo / tập lệnh bị vô hiệu hóa, không có bản quét / cập nhật vi-rút nào được lên lịch. Ngoài ra, tôi có thể thấy rằng đó là một cửa sổ nhắc lệnh nhấp nháy và sau đó biến mất.
Coldblackice
1
Chỉ cần đối mặt với vấn đề tương tự và chạy vào câu hỏi của bạn, bạn đã tìm ra đó là gì?
chú Lem

Câu trả lời:

29

Bạn sẽ không thể kiểm tra những gì đã chạy, nhưng bạn có thể chuẩn bị cho lần tiếp theo. Nếu bạn mở secpol.mscbạn có thể đi đến local policies/audit policy. Kích hoạt Success(và cũng có thể Failure) trên Audit process trackingvà bạn sẽ nhận được một mục nhật ký sự kiện trong nhật ký sự kiện bảo mật mỗi khi một quá trình bắt đầu hoặc kết thúc. Thật không may, bạn sẽ thấy quá trình chạy nhưng không phải là dòng lệnh đã được bắt đầu.

Nếu bạn kích hoạt kiểm toán, rất nhiều nhật ký có thể được tạo, vì vậy bạn nên điều chỉnh kích thước của nhật ký sự kiện bảo mật.

Bạn có thể truy cập nhật ký với eventvwr.msc, giao thức Windows, Bảo mật.

Hen Henze
nguồn
Nếu tôi không thấy dòng lệnh, thì tôi sẽ thấy gì?
mờ
@Dims Nếu "notepad myfile.txt" được bắt đầu thì bạn sẽ thấy "notepad" chứ không phải "myfile.txt".
Werner Henze
@WernerHenze, Dù sao để làm điều này trên một máy tính gia đình? ... Windows không thể tìm thấysecpol.msc
Pacerier
@Pacerier Phiên bản / phiên bản Windows nào?
Werner Henze
Nhật ký nằm ở đâu?
tisaconundrum
10

Mark Russinovich Sysiternals Process Monitor thực hiện điều đó. Trong số các tệp theo dõi / reg / truy cập mạng, nó có thể theo dõi vòng đời của Proc / thread và cho phép rất nhiều bộ lọc.

Val
nguồn
1
Điều này có phải đã được chạy để nắm bắt một quy trình đã mở? Hoặc có thể báo cáo thời gian tồn tại của luồng độc lập với theo dõi của Procmon không?
Coldblackice
"Cái này" độc lập với pmon là gì? Bạn có nghĩa là giám sát mà không có màn hình? Làm thế nào để bạn tưởng tượng điều này?
Val
1
Ý tôi là - liệu Process Monitor có cần phải chạy để theo dõi vòng đời của Proc / luồng hay không, hay nó được lưu trữ trên toàn cầu độc lập với Process Monitor?
Coldblackice
2
Giám sát quy trình là những gì nó nói - một màn hình. Nó không phải là Windows Log Viewer. Nó tiêm một số trình điều khiển vào các chức năng cốt lõi của windows và ghi lại các cuộc gọi himslef. Bạn không thể theo dõi mà không có màn hình. Được?
Val
1
Rất tiếc - Tôi đã nhầm lẫn Trình theo dõi tiến trình với Process Explorer - Process Explorer có thể thấy thời gian bắt đầu / chạy quy trình mà không cần kích hoạt (giám sát) khi chương trình tương ứng được khởi động lần đầu tiên. Tôi nghĩ đó là Process Explorer mà bạn đang nói đến. Cảm ơn.
Coldblackice
2

Nó có thể là một nhiệm vụ theo lịch trình đang chạy. Kiểm tra Bộ lập lịch tác vụ cho các nhiệm vụ.

Bạn cũng có thể kiểm tra Trình xem sự kiện xem có gì không, mặc dù có lẽ nó sẽ không có gì.

-2

Tương tự ở đây Windows 7 Ultimate x64 (tiếng Tây Ban Nha).

Tôi phát hiện ra rằng thủ phạm là: C: \ Program Files (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Rõ ràng đó là một lỗi Biết.

Jorge Ramirez
nguồn
Đây có lẽ không phải là vấn đề mà người đăng ban đầu gặp phải, tuy nhiên khi tôi kích hoạt ghi nhật ký kiểm toán cho các quy trình (như được đề xuất bởi Werner Herze) thì hóa ra đây là vấn đề trong trường hợp của tôi. Kể từ tháng 5 năm 2017, điều này sẽ được khắc phục trong bản cập nhật Windows trong tương lai "sớm". Nếu sự cố vẫn còn sau khi cập nhật Windows (và bạn đến từ tương lai) thì đây có lẽ không phải là vấn đề của bạn.
dùng2711915
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.