Làm cách nào để xác định quá trình Windows bị chấm dứt nếu tôi vẫn còn PID của nó?

Lý lịch: Giữa công việc của tôi, thỏa thuận cấp phép cài đặt "Trung tâm bàn phím và chuột của Microsoft" đột nhiên xuất hiện. Tôi muốn hiểu quá trình khởi chạy thiết lập, nhưng sử dụng Process Explorer, tôi thấy nó đã biến mất, tôi chỉ có thể tìm thấy PID của nó (xem ảnh chụp màn hình).

Câu hỏi:

Nếu bạn đang sử dụng Trình khám phá quy trình , có lẽ bạn biết tình huống trong đó quy trình cha mẹ của quy trình không còn tồn tại và bạn chỉ có thể thấy PID của nó:

Có một số nhật ký Windows có chứa liên kết của PID với quá trình đang chạy không vì vậy tôi có thể tìm ra quy trình nào đang chạy theo quy định PID?

Tốt nhất là tôi quan tâm đến các kịch bản, nơi tôi không mong đợi điều này vì vậy tôi đã không sử dụng Giám sát quá trình để nắm bắt các sự kiện trong hệ thống.

Có một số nhật ký Windows có chứa liên kết của PID với quá trình đang chạy không

Theo mặc định không có nhật ký như vậy. Tuy nhiên, bạn có thể bật Sự kiện theo dõi quá trình trong Nhật ký sự kiện bảo mật của Windows.

Ghi chú:

• Giải pháp yêu cầu thay đổi Chính sách nhóm bằng cách sử dụng gpedit.

• Thật không may, Trình chỉnh sửa chính sách nhóm (gpedit) không được bao gồm trong phiên bản Starter Edition, Home và Home Premium.

• Xem Hỏi & Đáp của tôi Windows Starter Edition, Home và Home Premium không bao gồm gpedit, làm cách nào để cài đặt nó? để được hướng dẫn về cách cài đặt nó.

Cách sử dụng các sự kiện theo dõi quá trình trong Nhật ký bảo mật của Windows

Trong Windows 2003 / XP, bạn có được các sự kiện này bằng cách kích hoạt chính sách kiểm toán Theo dõi tiến trình.

Trong Windows 7/2008 +, bạn cần kích hoạt Tạo quy trình kiểm toán và, tùy chọn, các danh mục con Chấm dứt quá trình kiểm toán mà bạn sẽ tìm thấy trong Cấu hình chính sách kiểm toán nâng cao trong các đối tượng chính sách nhóm.

Những sự kiện này có giá trị vô cùng vì chúng đưa ra một lộ trình kiểm toán toàn diện mỗi khi bất kỳ sự thực thi nào trên hệ thống được bắt đầu như một quá trình. Bạn thậm chí có thể xác định quá trình chạy trong bao lâu bằng cách liên kết sự kiện tạo quy trình với sự kiện chấm dứt quy trình bằng ID tiến trình được tìm thấy trong cả hai sự kiện. Ví dụ về cả hai sự kiện được hiển thị dưới đây.

Nguồn Cách sử dụng các sự kiện theo dõi quá trình trong Nhật ký bảo mật của Windows

Cách bật Tạo quy trình kiểm toán

1. Chạy gpedit.msc

2. Chọn "Cài đặt Windows" & gt; "Cài đặt bảo mật" & gt; "Chính sách địa phương" & gt; "Chính sách kiểm toán"

   

3. Nhấp chuột phải vào "Theo dõi quá trình kiểm toán" và chọn "Thuộc tính"

4. Kiểm tra "Thành công" và nhấp vào "OK"

   

Theo dõi quá trình kiểm toán là gì

Cài đặt bảo mật này xác định xem hệ điều hành có kiểm tra liên quan đến quá trình không   các sự kiện như tạo quy trình, chấm dứt quá trình, xử lý   trùng lặp, và truy cập đối tượng gián tiếp.

Nếu cài đặt chính sách này được xác định, quản trị viên có thể chỉ định   chỉ kiểm toán thành công, chỉ thất bại, cả thành công và   thất bại hoặc hoàn toàn không kiểm toán các sự kiện này (nghĩa là không thành công   cũng không thất bại).

Nếu kiểm toán thành công được bật, một mục kiểm toán được tạo ra mỗi lần   HĐH thực hiện một trong những hoạt động liên quan đến quá trình này.

Nếu kiểm tra Thất bại được bật, một mục kiểm toán được tạo ra mỗi lần   HĐH không thực hiện được một trong các hoạt động này.

Mặc định: Không kiểm toán

Quan trọng: Để kiểm soát nhiều hơn đối với chính sách kiểm toán, hãy sử dụng cài đặt   trong nút Cấu hình chính sách kiểm toán nâng cao. Để biết thêm thông tin   về Cấu hình chính sách kiểm toán nâng cao, xem http://go.microsoft.com/fwlink/?LinkId=140969 .

Cách duy nhất để xem là bạn phải kích hoạt kiểm toán để theo dõi việc tạo các quy trình.

Từ chương trình "Chính sách bảo mật cục bộ" (Loại secpol.msc từ màn hình chạy nếu bạn gặp khó khăn khi tìm nó), hãy chuyển đến "Cài đặt bảo mật - & gt; Chính sách cục bộ - & gt; Chính sách kiểm toán" sau đó bật "Theo dõi quá trình kiểm toán" cho "Thành công".

Khi bạn thực hiện việc đó, hãy đến trình xem sự kiện và kiểm tra nhật ký sự kiện "Bảo mật", ở đó bạn sẽ thấy các mục "Kiểm toán thành công" cho mỗi khi quá trình được bắt đầu hoặc kết thúc.

A process has exited.

Subject:
    Security ID:        SYSTEM
    Account Name:       SCOTT-PC$
    Account Domain:     WORKGROUP
    Logon ID:       0x3E7

Process Information:
    Process ID: 0x1338
    Process Name:   C:\Windows\System32\consent.exe
    Exit Status:    0x0

Bạn sẽ cần phải chuyển đổi ID tiến trình mà bạn đang tìm kiếm từ số thập phân thành hex (3336 trở thành 0xD08). Cách dễ nhất để chuyển đổi là mở máy tính windows, chuyển sang chế độ "Lập trình viên", nhập số ở chế độ "dec", sau đó nhấp vào chế độ "hex". Số hiển thị sẽ được chuyển đổi thành hex cho bạn.

Nếu đây là một lần và bạn không muốn luôn ghi nhật ký các quy trình của mình, tôi sẽ đề xuất sử dụng Microsoft Process Monitor ( https://technet.microsoft.com/en-us/L Library / bb896645.aspx ). Nó cần phải được chạy trước khi phổ biến được sinh ra, nhưng ngay cả sau khi quá trình cha mẹ đã chết, nó sẽ nắm bắt được tất cả thông tin bạn đang tìm kiếm.