Диспетчер задач показывает запущенные программы - как я могу увидеть те, которые уже закончились?

как узнать, какие программы были запущены, когда они были остановлены

по умолчанию нет логов того, какие программы были запущены.

однако, вы можете включить События Отслеживания Процессов на Журнал Событий Безопасности Windows (см. ниже для инструкций) и эта информация после этого будет доступна к вам в будущем.

после включения событий отслеживания процессов можно использовать следующий Powershell команды для проверки событий:

Процесс Пуска:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Процесс Остановить:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

вышеуказанные команды сбрасывают информацию о событии на экран.

как использовать события отслеживания процессов в журнале безопасности Windows

в Windows 2003 / XP эти события можно получить, просто включив политику аудита отслеживания процессов.

в Windows 7/2008+ необходимо включить создание процесса аудита и, дополнительно, подкатегории завершение процесса аудита, которые находятся в разделе Расширенная конфигурация политики аудита в объектах групповой политики.

эти события невероятно ценны, потому что они дают полный аудиторский след каждый раз, когда любой исполняемый файл в системе запускается как процесс. Можно даже определить продолжительность выполнения процесса, связав событие создания процесса с событием завершения процесса с помощью идентификатора процесса, найденного в обоих событиях. Примеры мероприятий приведены ниже.

Source как использовать события отслеживания процессов в журнале безопасности Windows

Как включить создание процесса аудита

1. запустите gpedit.msc

   • примечание. к сожалению, Редактор групповой политики не входит в состав выпусков Starter Edition, Home и Home Premium Windows.
   • смотрите мой ответ Как установить gpedit.msc на Windows Starter Edition, Home и Home Premium? инструкции по установке.

2. Выберите "Настройки Windows" > "Параметры Безопасности" > "Локальные Политики" > "Политика Аудита"

   

3. щелкните правой кнопкой мыши " отслеживание процесса аудита "и выберите"Свойства"

4. Проверить "Успех" и нажмите кнопку "OK"

   

что такое отслеживание процесса аудита

этот параметр безопасности определяет, связаны ли аудиты ОС с процессами такие события, как создание процесса, завершение процесса, ручка дублирование и косвенный доступ к объектам.

если этот параметр политики определен, администратор может указать проверять ли только успехи, только неудачи, как успехи, так и неудачи или не проверять эти события вообще (т. е. ни успехи ни неудач).

если включен аудит успешных, запись аудита создается каждый раз ОС выполняет одно из этих действий, связанных с процессами.

Если аудит включен, запись аудита создается каждый раз ОС не может выполнить одно из этих действий.

по умолчанию: нет аудита

важный: для больше контроля над политики аудита, используйте параметры в узле конфигурация расширенной политики аудита. За дополнительной информацией дополнительные сведения о настройке политики аудита см. В разделе http://go.microsoft.com/fwlink/?LinkId=140969.

как насчет ExecutedProgramList от Nirsoft? Могу я воспользоваться этим?

ExecutedProgramList не дает полного списка программ, которые были выполнены.

например, это не список любой из портативных программ, которые я в настоящее время работает с моего флэш-накопитель, например агент, Notepad++, GSNotes, а также почти все программы Cygwin я запускал с момента моего последнего перезапуска.

он не будет перечислять любую программу, которая ничего не пишет в местах, упомянутых в ссылке:

список ранее выполненных программ собирается из следующие источники данных:

• Ключ Реестра: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• Раздел Реестра: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
• Ключ Реестра: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
• Ключ Реестра: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
• папка упреждающей выборки Windows (C:\Windows\Prefetch)

Source ExecutedProgramList

Читать Далее

• Энциклопедия Журнала Безопасности Windows
• использование PowerShell для автономного анализа безопасности Журналы
• использование командлета Get-Eventlog
• используйте командлет PowerShell для фильтрации журнала событий для простого разбора
• простой журнал событий запросов с PowerShell

Nirsoft имеет небольшой, бесплатное приложение,ExecutedProgramList, который показывает список программ и пакетных файлов, выполненных в вашей системе. Обратите внимание, что он не всегда может показать время последнего запуска приложения из-за ограничений, присущих Windows, и, как упоминал @DavidPostill, он может пропустить портативные приложения.

он получает свою информацию из Windows, так что не нужно быть запущен, чтобы составить свой список.