โปรแกรมบันทึกของ Windows มีการเรียกใช้ / เรียกใช้หรือไม่

36

ใน Windows มีบันทึกที่บันทึกว่าโปรแกรมใดถูกเรียกใช้ / เรียกใช้หรือไม่

ในขณะที่ท่องอินเทอร์เน็ตดูหน้าเว็บที่ไม่มีโฆษณาคลิกเมาส์ปุ่มกดหรือปลั๊กอิน / addons / สคริปต์อื่น ๆ ที่ใช้งานอยู่ฉันเพิ่งเห็นคอนโซล CMD.exe เปิดขึ้นมาทันทีจากนั้นปิดแฟลชทันทีพอเร็ว ไม่สามารถเห็นอะไรในหน้าต่าง - และไม่มีการกระตุ้นที่ชัดเจนในส่วนของฉัน

ฉันสงสัยว่ามีบันทึก Windows บางประเภทที่แสดงว่าโปรแกรมใดบ้างที่ถูกเรียกใช้ / เรียกใช้ / เปิดใช้งาน ฉันต้องการที่จะเห็นสิ่งที่เกิดขึ้นหลังฉากเมื่อหน้าต่างคอนโซลนี้กระพริบและหวังว่ามันจะไม่ใช่สิ่งที่หลอกลวง

สำหรับการอ้างอิงฉันใช้ Windows 7 Ultimate x64

— Coldblackice
แหล่งที่มา

เป็นสิ่งนี้เมื่อเริ่มต้นหรือคุณกำลังติดตั้งบางอย่าง?

— ม.ค. Doggen

ฉันแค่ท่องอินเทอร์เน็ต - และไม่กระฉับกระเฉง ฉันกำลังอ่านเว็บเพจคงที่โหลดไว้แล้วโดยไม่มีการคลิกการกดปุ่มหรือการร้องขอที่ถูกยื่น ฉันกำลังแก้ไขคำถามในขณะนี้เพื่อปรับปรุงให้ดีขึ้นเพราะฉันถามจริง ๆ ว่ามีการเรียกใช้ / การเริ่มต้นของโปรแกรมประเภทหนึ่งหรือไม่และโดยเฉพาะอย่างยิ่งพร้อมรับคำสั่ง

— Coldblackice

ลองดูในตัวแสดงเหตุการณ์ของ Windows

— stderr

@JanDoggen มันอยู่ตรงกลางของวันไม่มีที่ไหนใกล้ startups, shutdowns, reboots หรือการติดตั้งใด ๆ ฉันเพิ่งอ่านในเบราว์เซอร์ของฉันในเพจที่โหลดไว้แล้วโดยที่ป๊อปอัป / โฆษณา / สคริปต์ทั้งหมดถูกปิดใช้งานโดยไม่มีกำหนดการสแกน / อัปเดตไวรัส นอกจากนี้ฉันเห็นว่ามันเป็นหน้าต่างพรอมต์คำสั่งที่กะพริบและหายไป

— Coldblackice

1

เพิ่งพบปัญหาที่คล้ายกันและพบคำถามของคุณคุณพบสิ่งนั้นคืออะไร?

— ลุง Lem

29

คุณจะไม่สามารถตรวจสอบสิ่งที่วิ่ง แต่คุณสามารถเตรียมการในครั้งต่อไป ถ้าคุณเปิดคุณสามารถไปที่secpol.msc local policies/audit policyเปิดใช้งานSuccess(และอาจจะFailure) Audit process trackingและคุณจะได้รับรายการบันทึกเหตุการณ์ในบันทึกเหตุการณ์ความปลอดภัยทุกครั้งที่กระบวนการเริ่มต้นหรือสิ้นสุด น่าเสียดายที่คุณจะเห็นกระบวนการที่ทำงาน แต่ไม่ใช่บรรทัดคำสั่งที่เริ่มต้นด้วย

หากคุณเปิดใช้งานการตรวจสอบบันทึกจำนวนมากอาจถูกสร้างขึ้นดังนั้นคุณควรปรับขนาดของบันทึกเหตุการณ์การรักษาความปลอดภัย

คุณสามารถเข้าถึงบันทึกด้วยeventvwr.mscโปรโตคอล Windows ความปลอดภัย

— เวอร์เนอร์เฮนเซ
แหล่งที่มา

หากฉันไม่เห็นบรรทัดคำสั่งฉันจะเห็นอะไรได้บ้าง

— Dims

@Dims หาก "notepad myfile.txt" เริ่มขึ้นคุณจะเห็น "notepad" แต่ไม่ใช่ "myfile.txt"

— เวอร์เนอร์เฮนเซ

@WernerHenze ทำเช่นนี้กับคอมพิวเตอร์ที่บ้านได้หรือไม่? ... Windows ไม่พบsecpol.msc

— Pacerier

@Pacerier เวอร์ชั่น / เวอร์ชั่นของ Windows ใด?

— เวอร์เนอร์ Henze

บันทึกอยู่ที่ไหน

— tisaconundrum

10

Mark Russinovich Sysinternals การตรวจสอบกระบวนการทำอย่างนั้น ในการติดตามการเข้าถึงไฟล์ / reg / เครือข่ายนั้นสามารถติดตามอายุการใช้งาน proc / thread และให้การกรองจำนวนมาก

— Val
แหล่งที่มา

1

สิ่งนี้จะต้องมีการทำงานเพื่อจับภาพกระบวนการที่เปิด? หรือสามารถรายงานอายุการใช้งานเธรดที่เป็นอิสระจากการติดตามของ Procmon ได้หรือไม่

— Coldblackice

"นี่คืออะไร" เป็นอิสระจาก pmon? คุณหมายถึงการมอนิเตอร์โดยไม่มีจอภาพหรือไม่ คุณจินตนาการเรื่องนี้ได้อย่างไร

— Val

1

สิ่งที่ฉันหมายถึง - การตรวจสอบกระบวนการจะต้องมีการทำงานเพื่อติดตามอายุการใช้งาน proc / ด้ายหรือว่าเป็นที่เก็บทั่วโลกเป็นอิสระจากการตรวจสอบกระบวนการ?

— Coldblackice

2

การตรวจสอบกระบวนการคือสิ่งที่มันบอก - จอภาพ ไม่ใช่ Windows Log Viewer มันฉีดไดรเวอร์บางอย่างลงในฟังก์ชั่นหลักของ Windows และบันทึกการโทรของเขา คุณไม่สามารถตรวจสอบได้หากไม่มีจอภาพ ตกลง?

— Val

1

โอ๊ะ - ฉันสับสนกระบวนการตรวจสอบกับ Process Explorer - Process Explorer สามารถดูเวลาเริ่มต้น / ทำงานของกระบวนการโดยไม่ต้องมีการใช้งาน (ตรวจสอบ) เมื่อโปรแกรมนั้นเริ่มขึ้นครั้งแรก ฉันคิดว่าเป็น Process Explorer ที่คุณพูดถึง ขอบคุณ

— Coldblackice

2

อาจเป็นงานที่กำหนดเวลาไว้แล้ว ตรวจสอบงาน Task Scheduler

คุณสามารถตรวจสอบตัวแสดงเหตุการณ์เพื่อดูว่ามีอะไรอยู่บ้างแม้ว่ามันอาจจะไม่มีอะไรก็ตาม

-2

เหมือนกันที่นี่ Windows 7 Ultimate x64 (สเปน)

ฉันพบว่าผู้ร้ายคือ: ไฟล์ Office \ root \ Office16 \ officebackgroundtaskhandler.exe C: \ Program Files (x86) \ Microsoft

เห็นได้ชัดว่ามันเป็นข้อผิดพลาดที่รู้

— Jorge Ramirez
แหล่งที่มา

นี่อาจไม่ใช่ปัญหาที่พบโดยผู้โพสต์ดั้งเดิม แต่เมื่อฉันเปิดใช้งานการบันทึกการตรวจสอบสำหรับกระบวนการ (ตามที่ Werner Herze แนะนำ) ปรากฏว่าปัญหานี้เป็นปัญหาในกรณีของฉัน เมื่อวันที่พฤษภาคม 2017 นี้จะได้รับการแก้ไขในการปรับปรุง Windows ในอนาคต "เร็ว ๆ นี้" หากปัญหายังคงอยู่หลังจากอัพเดต Windows (และคุณมาจากอนาคต) นี่อาจไม่ใช่ปัญหาของคุณ

— 2711915