Диспетчер задач показывает запущенные программы - как я могу увидеть те, которые уже закончились?

Как узнать, какие программы были запущены на моем компьютере, даже если они были прекращены до такой степени, что Диспетчер Задач не могу показать вещи?

Я не использую свой компьютер в одиночку и иногда подозрительно.

14
задан Peter Mortensen
23.12.2022 3:16 Количество просмотров материала 2918
Распечатать страницу

3 ответа

как узнать, какие программы были запущены, когда они были остановлены

по умолчанию нет логов того, какие программы были запущены.

однако, вы можете включить События Отслеживания Процессов на Журнал Событий Безопасности Windows (см. ниже для инструкций) и эта информация после этого будет доступна к вам в будущем.

после включения событий отслеживания процессов можно использовать следующий Powershell команды для проверки событий:

Процесс Пуска:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Процесс Остановить:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

вышеуказанные команды сбрасывают информацию о событии на экран.


как использовать события отслеживания процессов в журнале безопасности Windows

в Windows 2003 / XP эти события можно получить, просто включив политику аудита отслеживания процессов.

в Windows 7/2008+ необходимо включить создание процесса аудита и, дополнительно, подкатегории завершение процесса аудита, которые находятся в разделе Расширенная конфигурация политики аудита в объектах групповой политики.

эти события невероятно ценны, потому что они дают полный аудиторский след каждый раз, когда любой исполняемый файл в системе запускается как процесс. Можно даже определить продолжительность выполнения процесса, связав событие создания процесса с событием завершения процесса с помощью идентификатора процесса, найденного в обоих событиях. Примеры мероприятий приведены ниже.

enter image description here

Source как использовать события отслеживания процессов в журнале безопасности Windows


Как включить создание процесса аудита

  1. запустите gpedit.msc

  2. Выберите "Настройки Windows" > "Параметры Безопасности" > "Локальные Политики" > "Политика Аудита"

    enter image description here

  3. щелкните правой кнопкой мыши " отслеживание процесса аудита "и выберите"Свойства"

  4. Проверить "Успех" и нажмите кнопку "OK"

    enter image description here


что такое отслеживание процесса аудита

этот параметр безопасности определяет, связаны ли аудиты ОС с процессами такие события, как создание процесса, завершение процесса, ручка дублирование и косвенный доступ к объектам.

если этот параметр политики определен, администратор может указать проверять ли только успехи, только неудачи, как успехи, так и неудачи или не проверять эти события вообще (т. е. ни успехи ни неудач).

если включен аудит успешных, запись аудита создается каждый раз ОС выполняет одно из этих действий, связанных с процессами.

Если аудит включен, запись аудита создается каждый раз ОС не может выполнить одно из этих действий.

по умолчанию: нет аудита

важный: для больше контроля над политики аудита, используйте параметры в узле конфигурация расширенной политики аудита. За дополнительной информацией дополнительные сведения о настройке политики аудита см. В разделе http://go.microsoft.com/fwlink/?LinkId=140969.


как насчет ExecutedProgramList от Nirsoft? Могу я воспользоваться этим?

ExecutedProgramList не дает полного списка программ, которые были выполнены.

например, это не список любой из портативных программ, которые я в настоящее время работает с моего флэш-накопитель, например агент, Notepad++, GSNotes, а также почти все программы Cygwin я запускал с момента моего последнего перезапуска.

он не будет перечислять любую программу, которая ничего не пишет в местах, упомянутых в ссылке:

список ранее выполненных программ собирается из следующие источники данных:

  • Ключ Реестра: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
  • Раздел Реестра: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
  • Ключ Реестра: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
  • Ключ Реестра: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
  • папка упреждающей выборки Windows (C:\Windows\Prefetch)

Source ExecutedProgramList


Читать Далее

35
отвечен DavidPostill 2022-12-24 11:04

Nirsoft имеет небольшой, бесплатное приложение,ExecutedProgramList, который показывает список программ и пакетных файлов, выполненных в вашей системе. Обратите внимание, что он не всегда может показать время последнего запуска приложения из-за ограничений, присущих Windows, и, как упоминал @DavidPostill, он может пропустить портативные приложения.

он получает свою информацию из Windows, так что не нужно быть запущен, чтобы составить свой список.

3
отвечен DrMoishe Pippik 2022-12-24 13:21

История Процесса также это. Это бесплатная и переносимая база данных процессов.

Это простой портативный .скачать zip. Есть инструкция по использованию с видео на сайте скачать.

до тех пор, как история процесса работает, вы можете запросить процессы, которые закончились через отдельный графический интерфейс.

Он будет работать на любой версии Windows от XP.

(Я автор этой открытым исходным кодом.)

1
отвечен Process History 2022-12-24 15:38

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх