จะระบุกระบวนการ Windows ที่ถูกยกเลิกได้อย่างไรหากฉันยังมี PID อยู่


14

ความเป็นมา:ในระหว่างที่ฉันทำงานข้อตกลงใบอนุญาตสำหรับการติดตั้ง "Microsoft Mouse and Keyboard Center" ก็ปรากฏขึ้นทันที ฉันต้องการเข้าใจว่ากระบวนการเปิดตัวการตั้งค่าใด แต่เมื่อใช้ Process Explorer ฉันเห็นว่ามันหายไปฉันสามารถค้นหา PID ของมันได้ (ดูภาพหน้าจอ)

คำถาม:

หากคุณกำลังใช้Process Explorerคุณอาจรู้สถานการณ์ที่กระบวนการหลักของกระบวนการไม่มีอยู่อีกต่อไปและคุณจะเห็นได้เฉพาะ PID:

ป้อนคำอธิบายรูปภาพที่นี่

มีบันทึก Windows บางอันที่มีการเชื่อมโยง PID กับกระบวนการทำงานอยู่หรือไม่เพื่อให้ฉันทราบว่ากระบวนการใดที่ทำงานภายใต้ PID ที่ให้มา

โดยเฉพาะอย่างยิ่งฉันสนใจสถานการณ์ที่ฉันไม่ได้คาดหวังสิ่งนี้ดังนั้นฉันจึงไม่ใช้Process Monitorเพื่อจับภาพเหตุการณ์ในระบบ

คำตอบ:


11

มีบันทึก Windows บางส่วนที่มีความสัมพันธ์ของ PID กับกระบวนการทำงานหรือไม่

โดยค่าเริ่มต้นไม่มีบันทึกดังกล่าว อย่างไรก็ตามคุณสามารถเปิดใช้งานกระบวนการติดตามเหตุการณ์ในบันทึกเหตุการณ์ความปลอดภัยของ Windows

หมายเหตุ:


วิธีใช้เหตุการณ์การติดตามกระบวนการในบันทึกความปลอดภัยของ Windows

ใน Windows 2003 / XP คุณจะได้รับเหตุการณ์เหล่านี้เพียงแค่เปิดใช้งานนโยบายการตรวจสอบติดตามกระบวนการ

ใน Windows 7/2008 + คุณจะต้องเปิดใช้งานการสร้างกระบวนการตรวจสอบและเลือกที่หมวดย่อยการยกเลิกกระบวนการตรวจสอบซึ่งคุณจะพบภายใต้การกำหนดค่านโยบายการตรวจสอบขั้นสูงในวัตถุนโยบายกลุ่ม

เหตุการณ์เหล่านี้มีค่าอย่างไม่น่าเชื่อเพราะพวกเขาให้หลักฐานการตรวจสอบที่ครอบคลุมทุกครั้งที่ปฏิบัติการใด ๆ ในระบบเริ่มต้นเป็นกระบวนการ คุณสามารถกำหนดระยะเวลาที่กระบวนการทำงานโดยการเชื่อมโยงเหตุการณ์การสร้างกระบวนการกับเหตุการณ์การยกเลิกกระบวนการโดยใช้ ID กระบวนการที่พบในทั้งสองเหตุการณ์ ตัวอย่างของเหตุการณ์ทั้งสองจะแสดงด้านล่าง

ป้อนคำอธิบายรูปภาพที่นี่

แหล่งที่มาวิธีใช้เหตุการณ์การติดตามกระบวนการในบันทึกความปลอดภัยของ Windows


วิธีเปิดใช้งานการสร้างกระบวนการตรวจสอบ

  1. เรียกใช้ gpedit.msc

  2. เลือก "การตั้งค่า Windows"> "การตั้งค่าความปลอดภัย"> "นโยบายท้องถิ่น"> "นโยบายการตรวจสอบ"

    ป้อนคำอธิบายรูปภาพที่นี่

  3. คลิกขวาที่ "ตรวจสอบกระบวนการติดตาม" และเลือก "คุณสมบัติ"

  4. ทำเครื่องหมายที่ "สำเร็จ" แล้วคลิก "ตกลง"

    ป้อนคำอธิบายรูปภาพที่นี่


การติดตามกระบวนการตรวจสอบคืออะไร

การตั้งค่าความปลอดภัยนี้กำหนดว่าการตรวจสอบระบบปฏิบัติการของเหตุการณ์ที่เกี่ยวข้องกับกระบวนการเช่นการสร้างกระบวนการ, การยกเลิกกระบวนการ, จัดการการทำซ้ำและการเข้าถึงวัตถุทางอ้อม

หากมีการกำหนดการตั้งค่านโยบายนี้ผู้ดูแลระบบสามารถระบุได้ว่าจะตรวจสอบเฉพาะความสำเร็จเท่านั้นความล้มเหลวทั้งความสำเร็จและความล้มเหลวหรือไม่ตรวจสอบเหตุการณ์เหล่านี้เลย (เช่นไม่สำเร็จหรือล้มเหลว)

หากเปิดใช้งานการตรวจสอบความสำเร็จรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ระบบปฏิบัติการดำเนินการหนึ่งในกิจกรรมที่เกี่ยวข้องกับกระบวนการเหล่านี้

หากเปิดใช้งานการตรวจสอบความล้มเหลวรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ระบบปฏิบัติการล้มเหลวในการดำเนินการหนึ่งในกิจกรรมเหล่านี้

เริ่มต้น: ไม่มีการตรวจสอบ

สิ่งสำคัญ: เพื่อให้สามารถควบคุมนโยบายการตรวจสอบได้มากขึ้นให้ใช้การตั้งค่าในโหนดการกำหนดค่านโยบายการตรวจสอบขั้นสูง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่านโยบายการตรวจสอบขั้นสูงดู http://go.microsoft.com/fwlink/?LinkId=140969


เดฟบางทีคุณอาจจะใช้"ปืนที่เร็วที่สุดในทางทิศตะวันตก" วิธีการ ในขณะที่คุณกำลังเขียนคำตอบที่ยาวและซับซ้อนของฉันฉันทำตามขั้นตอนในคำตอบอื่น ๆ (เช่นเดียวกับที่คุณเพิ่มในภายหลัง) และกำลังจะตอบรับ ดังนั้นตอนนี้ฉันมีกระอักกระอ่วนซึ่งคำตอบที่จะยอมรับ ... :)
miroxlav

1
ฉันอยากจะได้คำตอบที่ดีที่สุดกว่าคำตอบแรก) หากพวกเขาเป็นสิ่งเดียวกันมันเป็นโบนัส ฉันแจ้งให้คุณทราบ (ในตอนนี้ทำความสะอาดความคิดเห็น) ว่าฉันกำลังเตรียมคำตอบของฉัน และฉันใช้การเชื่อมต่ออินเทอร์เน็ตแบบช้า ๆ ผ่านมือถือ: /
DavidPostill

โอ้ใช่คุณทำ OTOH อาจไม่อายที่จะเขียน "คุณสามารถเปิดใช้งานการบันทึกการตรวจสอบในนโยบายท้องถิ่น" โพสต์และดำเนินการสร้างคำตอบด้วยค่าการศึกษาต่อไป บางครั้งแม้แต่เบาะแสเล็ก ๆ ก็สามารถช่วยฉันได้ (OP) มากกว่ารอ 60 นาทีสำหรับคำตอบที่ดี :) ฉันหมายถึงฉันรู้ว่านโยบายท้องถิ่นอยู่ที่ไหนฉันแค่ต้องการเบาะแสเล็กน้อย
miroxlav

@DavidPostill: จะดีถ้าคุณสามารถพูดถึงความถี่ที่บันทึกเหล่านี้จะถูกทำความสะอาด (หรือความถี่ที่พวกเขาควรจะทำความสะอาดด้วยตนเอง) เพราะฉันคิดว่าพวกเขาจะได้ค่อนข้างยาว ...
user541686

1
@Mehrdad wevtutilบันทึกเหตุการณ์สามารถถ้าจำเป็นถูกลบออกจากบรรทัดคำสั่งโดยใช้ ง่ายกว่าการใช้ GUI ของ Event Viewer
DavidPostill

3

วิธีเดียวที่จะดูคือคุณต้องเปิดใช้งานการตรวจสอบเพื่อติดตามการสร้างกระบวนการ

จากโปรแกรม "นโยบายความปลอดภัยท้องถิ่น" (พิมพ์secpol.mscจากหน้าจอการทำงานหากคุณพบปัญหา) ไปที่ "การตั้งค่าความปลอดภัย -> นโยบายตำรวจ -> นโยบายการตรวจสอบ" จากนั้นเปิดใช้งาน "การติดตามกระบวนการตรวจสอบ" สำหรับ "ความสำเร็จ"

ป้อนคำอธิบายรูปภาพที่นี่

เมื่อคุณทำเช่นนั้นไปที่ตัวแสดงเหตุการณ์และตรวจสอบบันทึกเหตุการณ์ "Secruity" ในนั้นคุณจะเห็นรายการ "ความสำเร็จในการตรวจสอบ" ทุกครั้งที่กระบวนการเริ่มต้นหรือสิ้นสุด

กระบวนการได้ออก

เรื่อง:
    ID ความปลอดภัย: ระบบ
    ชื่อบัญชี: SCOTT-PC $
    โดเมนบัญชี: WORKGROUP
    ID เข้าสู่ระบบ: 0x3E7

ข้อมูลกระบวนการ:
    ID กระบวนการ: 0x1338
    ชื่อกระบวนการ: C: \ Windows \ System32 \ ยินยอม.exe
    สถานะการออก: 0x0

คุณจะต้องแปลง Process ID ที่คุณต้องการจากทศนิยมให้เป็น hex (3336 กลายเป็น 0xD08) วิธีที่ง่ายที่สุดในการแปลงคือเครื่องคิดเลข windows ที่เปิดอยู่ไปที่โหมด "โปรแกรมเมอร์" ป้อนหมายเลขในโหมด "dec" จากนั้นคลิกที่โหมด "hex" หมายเลขที่แสดงจะถูกแปลงเป็นเลขฐานสิบหกสำหรับคุณ


ใช่นี่คือคำตอบที่ฉันคาดไว้ พูดง่าย ๆ ว่า: เปิดใช้งานการบันทึกและทำให้สามารถตรวจสอบผลลัพธ์ได้
miroxlav

0

หากนี่เป็นเพียงครั้งเดียวและคุณไม่ต้องการบันทึกกระบวนการของคุณเสมอฉันขอแนะนำให้ใช้ Microsoft Process Monitor ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ) มันจะต้องวิ่งก่อนที่จะได้รับความนิยมกลับกลาย แต่แม้หลังจากกระบวนการผู้ปกครองจะตายก็จะได้รวบรวมข้อมูลทั้งหมดที่คุณกำลังมองหา

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.