Làm cách nào để xác định quá trình Windows bị chấm dứt nếu tôi vẫn còn PID của nó?


14

Lý lịch: Giữa công việc của tôi, thỏa thuận cấp phép cài đặt "Trung tâm bàn phím và chuột của Microsoft" đột nhiên xuất hiện. Tôi muốn hiểu quá trình khởi chạy thiết lập, nhưng sử dụng Process Explorer, tôi thấy nó đã biến mất, tôi chỉ có thể tìm thấy PID của nó (xem ảnh chụp màn hình).

Câu hỏi:

Nếu bạn đang sử dụng Trình khám phá quy trình , có lẽ bạn biết tình huống trong đó quy trình cha mẹ của quy trình không còn tồn tại và bạn chỉ có thể thấy PID của nó:

enter image description here

Có một số nhật ký Windows có chứa liên kết của PID với quá trình đang chạy không vì vậy tôi có thể tìm ra quy trình nào đang chạy theo quy định PID?

Tốt nhất là tôi quan tâm đến các kịch bản, nơi tôi không mong đợi điều này vì vậy tôi đã không sử dụng Giám sát quá trình để nắm bắt các sự kiện trong hệ thống.

Câu trả lời:


11

Có một số nhật ký Windows có chứa liên kết của PID với quá trình đang chạy không

Theo mặc định không có nhật ký như vậy. Tuy nhiên, bạn có thể bật Sự kiện theo dõi quá trình trong Nhật ký sự kiện bảo mật của Windows.

Ghi chú:


Cách sử dụng các sự kiện theo dõi quá trình trong Nhật ký bảo mật của Windows

Trong Windows 2003 / XP, bạn có được các sự kiện này bằng cách kích hoạt chính sách kiểm toán Theo dõi tiến trình.

Trong Windows 7/2008 +, bạn cần kích hoạt Tạo quy trình kiểm toán và, tùy chọn, các danh mục con Chấm dứt quá trình kiểm toán mà bạn sẽ tìm thấy trong Cấu hình chính sách kiểm toán nâng cao trong các đối tượng chính sách nhóm.

Những sự kiện này có giá trị vô cùng vì chúng đưa ra một lộ trình kiểm toán toàn diện mỗi khi bất kỳ sự thực thi nào trên hệ thống được bắt đầu như một quá trình. Bạn thậm chí có thể xác định quá trình chạy trong bao lâu bằng cách liên kết sự kiện tạo quy trình với sự kiện chấm dứt quy trình bằng ID tiến trình được tìm thấy trong cả hai sự kiện. Ví dụ về cả hai sự kiện được hiển thị dưới đây.

enter image description here

Nguồn Cách sử dụng các sự kiện theo dõi quá trình trong Nhật ký bảo mật của Windows


Cách bật Tạo quy trình kiểm toán

  1. Chạy gpedit.msc

  2. Chọn "Cài đặt Windows" & gt; "Cài đặt bảo mật" & gt; "Chính sách địa phương" & gt; "Chính sách kiểm toán"

    enter image description here

  3. Nhấp chuột phải vào "Theo dõi quá trình kiểm toán" và chọn "Thuộc tính"

  4. Kiểm tra "Thành công" và nhấp vào "OK"

    enter image description here


Theo dõi quá trình kiểm toán là gì

Cài đặt bảo mật này xác định xem hệ điều hành có kiểm tra liên quan đến quá trình không   các sự kiện như tạo quy trình, chấm dứt quá trình, xử lý   trùng lặp, và truy cập đối tượng gián tiếp.

Nếu cài đặt chính sách này được xác định, quản trị viên có thể chỉ định   chỉ kiểm toán thành công, chỉ thất bại, cả thành công và   thất bại hoặc hoàn toàn không kiểm toán các sự kiện này (nghĩa là không thành công   cũng không thất bại).

Nếu kiểm toán thành công được bật, một mục kiểm toán được tạo ra mỗi lần   HĐH thực hiện một trong những hoạt động liên quan đến quá trình này.

Nếu kiểm tra Thất bại được bật, một mục kiểm toán được tạo ra mỗi lần   HĐH không thực hiện được một trong các hoạt động này.

Mặc định: Không kiểm toán

Quan trọng: Để kiểm soát nhiều hơn đối với chính sách kiểm toán, hãy sử dụng cài đặt   trong nút Cấu hình chính sách kiểm toán nâng cao. Để biết thêm thông tin   về Cấu hình chính sách kiểm toán nâng cao, xem http://go.microsoft.com/fwlink/?LinkId=140969 .


Dave, có lẽ bạn có thể sử dụng Cách tiếp cận "súng nhanh nhất ở phía tây" . Trong khi bạn đang viết câu trả lời dài và công phu của mình, tôi đã thực hiện các bước trong câu trả lời khác (giống như bạn đã thêm sau này) và chuẩn bị chấp nhận nó. Vì vậy, bây giờ tôi có một vấn đề nan giải mà câu trả lời phải chấp nhận ... :)
miroxlav

1
Tôi thà có câu trả lời tốt nhất hơn câu trả lời đầu tiên;) Nếu chúng giống nhau thì đó là một phần thưởng. Tôi đã thông báo cho bạn (trong một bình luận đã được làm sạch) rằng tôi đang chuẩn bị câu trả lời của mình. Và tôi đang sử dụng kết nối internet kết nối chậm thông qua điện thoại di động của mình: /
DavidPostill

Ồ vâng, bạn đã làm. OTOH, có lẽ đừng ngại viết "bạn có thể kích hoạt đăng nhập kiểm toán trong chính sách địa phương", đăng và tiếp tục tạo câu trả lời với giá trị giáo dục. Đôi khi, ngay cả đầu mối nhỏ cũng có thể giúp tôi (OP) tốt hơn là chờ 60 phút để có câu trả lời tuyệt vời :) Ý tôi là, tôi biết chính sách địa phương ở đâu, tôi chỉ cần một manh mối nhỏ.
miroxlav

@DavidPostill: Sẽ rất tuyệt nếu bạn có thể đề cập đến tần suất các bản ghi này được làm sạch (hoặc tần suất chúng nên được làm sạch bằng tay), vì tôi tưởng tượng chúng có thể khá lâu ...
Mehrdad

1
@Mehrdad Nhật ký sự kiện có thể, nếu cần, sẽ bị xóa khỏi dòng lệnh bằng cách sử dụng wevtutil. Điều đó dễ hơn là sử dụng GUI của Trình xem sự kiện.
DavidPostill

3

Cách duy nhất để xem là bạn phải kích hoạt kiểm toán để theo dõi việc tạo các quy trình.

Từ chương trình "Chính sách bảo mật cục bộ" (Loại secpol.msc từ màn hình chạy nếu bạn gặp khó khăn khi tìm nó), hãy chuyển đến "Cài đặt bảo mật - & gt; Chính sách cục bộ - & gt; Chính sách kiểm toán" sau đó bật "Theo dõi quá trình kiểm toán" cho "Thành công".

enter image description here

Khi bạn thực hiện việc đó, hãy đến trình xem sự kiện và kiểm tra nhật ký sự kiện "Bảo mật", ở đó bạn sẽ thấy các mục "Kiểm toán thành công" cho mỗi khi quá trình được bắt đầu hoặc kết thúc.

A process has exited.

Subject:
    Security ID:        SYSTEM
    Account Name:       SCOTT-PC$
    Account Domain:     WORKGROUP
    Logon ID:       0x3E7

Process Information:
    Process ID: 0x1338
    Process Name:   C:\Windows\System32\consent.exe
    Exit Status:    0x0

Bạn sẽ cần phải chuyển đổi ID tiến trình mà bạn đang tìm kiếm từ số thập phân thành hex (3336 trở thành 0xD08). Cách dễ nhất để chuyển đổi là mở máy tính windows, chuyển sang chế độ "Lập trình viên", nhập số ở chế độ "dec", sau đó nhấp vào chế độ "hex". Số hiển thị sẽ được chuyển đổi thành hex cho bạn.


Vâng, đây là loại câu trả lời tôi mong đợi. Nói một cách đơn giản: cho phép một số ghi nhật ký và do đó có thể kiểm tra kết quả của nó.
miroxlav

0

Nếu đây là một lần và bạn không muốn luôn ghi nhật ký các quy trình của mình, tôi sẽ đề xuất sử dụng Microsoft Process Monitor ( https://technet.microsoft.com/en-us/L Library / bb896645.aspx ). Nó cần phải được chạy trước khi phổ biến được sinh ra, nhưng ngay cả sau khi quá trình cha mẹ đã chết, nó sẽ nắm bắt được tất cả thông tin bạn đang tìm kiếm.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.