Czy system Windows rejestruje uruchomione / wywołane programy?

36

Czy w systemie Windows jest dziennik, który rejestruje, które programy zostały uruchomione / wywołane?

Podczas przeglądania Internetu, oglądania statycznej strony bez reklam, kliknięć myszką, naciśnięć klawiszy lub różnych wtyczek / dodatków / skryptów działających, właśnie zobaczyłem, jak spontaniczna konsola CMD.exe otwiera się, a następnie natychmiast zamyka błyskawicznie, wystarczająco szybko, że mogę nie widziałem nic w oknie - i bez widocznego wyzwalania z mojej strony.

Zastanawiam się, czy istnieje jakiś rodzaj dziennika systemu Windows, który pokazuje, jakie programy zostały uruchomione / wywołane / aktywowane? Chciałbym zobaczyć, co działo się za kulisami, kiedy to okno konsoli błysnęło, i mam nadzieję, że ustalę, że to nie było coś nieuczciwego.

Dla porównania korzystam z systemu Windows 7 Ultimate x64.

windows-7 windows command-line logging event-log Coldblackice
źródło
Czy to było podczas uruchamiania, czy coś instalowałeś?
Jan Doggen
Po prostu przeglądałem internet - i nawet nie aktywnie. Czytałem statyczną stronę internetową, która już się załadowała, bez żadnych kliknięć, naciśnięć klawiszy ani wniosków. Teraz edytuję pytanie, aby je poprawić, ponieważ naprawdę pytam, czy istnieje jakiś dziennik uruchomień / inicjacji programu, a konkretnie wiersz polecenia.
Coldblackice
Spróbuj zobaczyć w przeglądarce zdarzeń systemu Windows.
stderr
@JanDoggen Było w środku dnia, nigdzie w pobliżu żadnych startupów, wyłączeń, restartów lub instalacji. Właśnie czytałem w przeglądarce na już załadowanej stronie, z wyłączonymi wszystkimi wyskakującymi oknami / reklamami / skryptami, bez zaplanowanych skanowań / aktualizacji wirusów. Dodatkowo widziałem, że było to okno wiersza polecenia, które błysnęło, a następnie zniknęło.
Coldblackice 10.06.13
1
Właśnie napotkałem podobny problem i wpadłeś na swoje pytanie, czy dowiedziałeś się, co to było?
wujek Lem

Odpowiedzi:

29

Nie będziesz w stanie sprawdzić, co się uruchomiło, ale możesz przygotować się na następny raz. Jeśli otworzysz secpol.msc, możesz przejść do local policies/audit policy. Aktywuj Success(a może także Failure), Audit process trackinga otrzymasz wpis dziennika zdarzeń w dzienniku zdarzeń bezpieczeństwa za każdym razem, gdy proces się rozpoczyna lub kończy. Niestety zobaczysz proces, który został uruchomiony, ale nie wiersz polecenia, z którym został uruchomiony.

Jeśli aktywujesz inspekcję, może zostać wygenerowanych wiele dzienników, więc powinieneś dostosować rozmiar dziennika zdarzeń bezpieczeństwa.

Możesz uzyskać dostęp do dzienników za pomocą eventvwr.msc, protokołów Windows, zabezpieczeń.

Werner Henze
źródło
Jeśli nie widzę wiersza poleceń, co zobaczę?
Przerywa
@Dims Jeśli uruchomiono „notepad myfile.txt”, zobaczysz „notepad”, ale nie „myfile.txt”.
Werner Henze,
@WernerHenze, w każdym razie zrobić to na komputerze domowym? ... Windows nie może znaleźćsecpol.msc
Pacerier
@Pacerier Która wersja / edycja systemu Windows?
Werner Henze,
gdzie znajdują się dzienniki?
tisaconundrum
10

Mark Russinovich Sysinternals Process Monitor to robi. Wśród plików dostępowych / rejestrujących / sieciowych, może śledzić żywotność proc / wątków i umożliwia dużo filtrowania.

Val
źródło
1
Czy musiałoby to być uruchomione, aby uchwycić otwarty proces? Czy jest w stanie zgłosić czas życia wątku niezależnie od śledzenia Procmon?
Coldblackice
Co to „jest” niezależne od pmon? Masz na myśli monitorowanie bez monitora? Jak to sobie wyobrażasz?
Val
1
Co miałem na myśli - czy Monitor Monitor musiałby być uruchomiony w celu śledzenia żywotności proc / wątku, czy też jest przechowywany globalnie niezależnie od Monitora procesu?
Coldblackice
2
Monitor procesu to, co mówi - monitor. To nie jest Windows Log Viewer. Wstrzykuje niektóre sterowniki do podstawowych funkcji systemu Windows i rejestruje wywołania sam w sobie. Nie można monitorować bez monitora. Dobrze?
Val
1
Ups - pomyliłem Process Monitor z Process Explorer - Process Explorer może zobaczyć czasy rozpoczęcia / uruchomienia procesu bez bycia aktywnym (monitorowanie), gdy odpowiedni program został uruchomiony po raz pierwszy. Myślałem, że mówisz o Process Explorer. Dzięki.
Coldblackice
2

Być może uruchomiono zaplanowane zadanie. Sprawdź w Harmonogramie zadań zadania.

Możesz także sprawdzić Podgląd zdarzeń pod kątem czegokolwiek, chociaż prawdopodobnie nic nie będzie miało.


źródło
-2

To samo tutaj Windows 7 Ultimate x64 (hiszpański).

Dowiedziałem się, że winowajcą jest: C: \ Program Files (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Najwyraźniej jest to błąd Know.

Jorge Ramirez
źródło
Prawdopodobnie nie jest to problem napotkany przez oryginalny plakat, jednak kiedy włączyłem rejestrowanie audytu dla procesów (jak sugeruje Werner Herze), okazało się, że taki był problem w moim przypadku. Od maja 2017 r. Ma to zostać naprawione w przyszłej aktualizacji systemu Windows „wkrótce”. Jeśli problem nadal występuje po aktualizacji systemu Windows (i jesteś z przyszłości), prawdopodobnie nie jest to twój problem.
user2711915