Как узнать, какие программы были запущены на моем компьютере, даже если они были прекращены до такой степени, что Диспетчер Задач не могу показать вещи?
Я не использую свой компьютер в одиночку и иногда подозрительно.
Как узнать, какие программы были запущены на моем компьютере, даже если они были прекращены до такой степени, что Диспетчер Задач не могу показать вещи?
Я не использую свой компьютер в одиночку и иногда подозрительно.
по умолчанию нет логов того, какие программы были запущены.
однако, вы можете включить События Отслеживания Процессов на Журнал Событий Безопасности Windows (см. ниже для инструкций) и эта информация после этого будет доступна к вам в будущем.
после включения событий отслеживания процессов можно использовать следующий Powershell команды для проверки событий:
Процесс Пуска:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
Процесс Остановить:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
вышеуказанные команды сбрасывают информацию о событии на экран.
в Windows 2003 / XP эти события можно получить, просто включив политику аудита отслеживания процессов.
в Windows 7/2008+ необходимо включить создание процесса аудита и, дополнительно, подкатегории завершение процесса аудита, которые находятся в разделе Расширенная конфигурация политики аудита в объектах групповой политики.
эти события невероятно ценны, потому что они дают полный аудиторский след каждый раз, когда любой исполняемый файл в системе запускается как процесс. Можно даже определить продолжительность выполнения процесса, связав событие создания процесса с событием завершения процесса с помощью идентификатора процесса, найденного в обоих событиях. Примеры мероприятий приведены ниже.
Source как использовать события отслеживания процессов в журнале безопасности Windows
запустите gpedit.msc
Выберите "Настройки Windows" > "Параметры Безопасности" > "Локальные Политики" > "Политика Аудита"
щелкните правой кнопкой мыши " отслеживание процесса аудита "и выберите"Свойства"
Проверить "Успех" и нажмите кнопку "OK"
этот параметр безопасности определяет, связаны ли аудиты ОС с процессами такие события, как создание процесса, завершение процесса, ручка дублирование и косвенный доступ к объектам.
если этот параметр политики определен, администратор может указать проверять ли только успехи, только неудачи, как успехи, так и неудачи или не проверять эти события вообще (т. е. ни успехи ни неудач).
если включен аудит успешных, запись аудита создается каждый раз ОС выполняет одно из этих действий, связанных с процессами.
Если аудит включен, запись аудита создается каждый раз ОС не может выполнить одно из этих действий.
по умолчанию: нет аудита
важный: для больше контроля над политики аудита, используйте параметры в узле конфигурация расширенной политики аудита. За дополнительной информацией дополнительные сведения о настройке политики аудита см. В разделе http://go.microsoft.com/fwlink/?LinkId=140969.
ExecutedProgramList не дает полного списка программ, которые были выполнены.
например, это не список любой из портативных программ, которые я в настоящее время работает с моего флэш-накопитель, например агент, Notepad++, GSNotes, а также почти все программы Cygwin я запускал с момента моего последнего перезапуска.
он не будет перечислять любую программу, которая ничего не пишет в местах, упомянутых в ссылке:
список ранее выполненных программ собирается из следующие источники данных:
- Ключ Реестра:
HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- Раздел Реестра:
HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- Ключ Реестра:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- Ключ Реестра:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- папка упреждающей выборки Windows (C:\Windows\Prefetch)
Source ExecutedProgramList
Nirsoft имеет небольшой, бесплатное приложение,ExecutedProgramList, который показывает список программ и пакетных файлов, выполненных в вашей системе. Обратите внимание, что он не всегда может показать время последнего запуска приложения из-за ограничений, присущих Windows, и, как упоминал @DavidPostill, он может пропустить портативные приложения.
он получает свою информацию из Windows, так что не нужно быть запущен, чтобы составить свой список.
История Процесса также это. Это бесплатная и переносимая база данных процессов.
Это простой портативный .скачать zip. Есть инструкция по использованию с видео на сайте скачать.
до тех пор, как история процесса работает, вы можете запросить процессы, которые закончились через отдельный графический интерфейс.
Он будет работать на любой версии Windows от XP.
(Я автор этой открытым исходным кодом.)
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]