Windows registra i programmi che sono stati eseguiti / chiamati?

36

In Windows, esiste un registro che registra quali programmi sono stati eseguiti / chiamati?

Durante la navigazione in Internet, la visualizzazione di una pagina statica senza pubblicità, clic del mouse, pressioni di tasti o plug-in / addon / script vari in esecuzione, ho appena visto aprire una console CMD.exe spontanea e quindi chiudermi immediatamente in un lampo, abbastanza veloce che non è stato in grado di vedere nulla nella finestra - e senza apparente attivazione da parte mia.

Mi chiedo se esiste un qualche tipo di registro di Windows che mostra quali programmi sono stati eseguiti / chiamati / attivati? Mi piacerebbe vedere cosa stava succedendo dietro le quinte quando questa finestra della console lampeggiava, e spero di determinare che non era qualcosa di canaglia.

Per riferimento, sto eseguendo Windows 7 Ultimate x64.

windows-7  windows  command-line  logging  event-log 
Coldblackice
fonte
Era all'avvio o stavi installando qualcosa?
Jan Doggen,
Stavo semplicemente navigando in Internet - e nemmeno attivamente. Stavo leggendo una pagina Web statica che era già stata caricata, senza clic, pressioni di tasti o richieste archiviate. Sto modificando la domanda ora per migliorarla, poiché sto davvero chiedendo se esiste un qualche tipo di registro delle esecuzioni / esecuzioni del programma e, in particolare, un prompt dei comandi.
Coldblackice,
Prova a vedere nel Visualizzatore eventi di Windows.
stderr,
@JanDoggen Era nel bel mezzo della giornata, da nessuna parte vicino a qualsiasi avvio, arresto, riavvio o installazione. Stavo solo leggendo nel mio browser in una pagina già caricata, con tutti i popup / annunci / script disabilitati, senza scansioni / aggiornamenti di virus pianificati. Inoltre, ho potuto vedere che era una finestra del prompt dei comandi che lampeggiava e poi scompariva.
Coldblackice,
1
Ho appena affrontato un problema simile e ho incontrato la tua domanda, hai scoperto cos'è?
zio Lem,

Risposte:

29

Non sarai in grado di controllare ciò che è stato eseguito, ma puoi prepararti per la prossima volta. Se apri secpol.mscpuoi andare a local policies/audit policy. Attiva Success(e forse anche Failure) on Audit process trackinge otterrai una voce del registro eventi nel registro eventi di sicurezza ogni volta che un processo inizia o termina. Sfortunatamente vedrai il processo eseguito ma non la riga di comando con cui è stato avviato.

Se si attiva il controllo, è possibile che vengano generati molti registri, quindi è necessario regolare le dimensioni del registro degli eventi di sicurezza.

È possibile accedere ai registri con eventvwr.msc, protocolli Windows, Sicurezza.

Werner Henze
fonte
Se non vedo la riga di comando, allora cosa vedrò?
Dims
@Dims Se è stato avviato "notepad myfile.txt", verrà visualizzato "notepad" ma non "myfile.txt".
Werner Henze,
@WernerHenze, comunque per farlo su un computer di casa? ... Windows non trovasecpol.msc
Pacerier il
@Pacerier Quale versione / edizione di Windows?
Werner Henze,
dove si trovano i registri?
tisaconundrum,
10

Mark Russinovich Sysinternals Process Monitor lo fa. Tra gli accessi al file / reg / network di tracciamento, può tenere traccia della durata di proc / thread e consente un sacco di filtri.

Val
fonte
1
Questo avrebbe dovuto essere in esecuzione per catturare un processo aperto? O è in grado di segnalare la durata del thread indipendentemente dal tracciamento di Procmon?
Coldblackice,
Quale "questo" è indipendente da Pmon? Intendi il monitoraggio senza il monitor? Come lo immagini?
Val
1
Cosa intendevo dire: avrebbe dovuto essere in esecuzione Process Monitor per tenere traccia della durata di proc / thread o è memorizzato a livello globale indipendentemente da Process Monitor?
Coldblackice,
2
Process Monitor è ciò che dice: un monitor. Non è Windows Log Viewer. Inietta alcuni driver nelle funzioni principali di Windows e registra le chiamate stesse. Non è possibile monitorare senza il monitor. Ok?
Val
1
Spiacenti, stavo confondendo Process Monitor con Process Explorer - Process Explorer è in grado di visualizzare i tempi di avvio / esecuzione del processo senza essere stato attivo (monitoraggio) al primo avvio del rispettivo programma. Pensavo fosse il Process Explorer di cui parlavi. Grazie.
Coldblackice,
2

Potrebbe essere stata un'attività pianificata in esecuzione. Controllare l'Utilità di pianificazione per le attività.

Puoi anche controllare il Visualizzatore eventi per qualsiasi cosa, anche se probabilmente non avrà nulla.

-2

Lo stesso qui Windows 7 Ultimate x64 (spagnolo).

Ho scoperto che il colpevole è: C: \ Programmi (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Apparentemente è un bug noto.

Jorge Ramirez
fonte
Probabilmente questo non è il problema riscontrato dal poster originale, tuttavia quando ho abilitato la registrazione di controllo per i processi (come suggerito da Werner Herze) si è scoperto che questo era il problema nel mio caso. A partire da maggio 2017, questo problema verrà risolto in un futuro aggiornamento di Windows "presto". Se il problema persiste dopo l'aggiornamento di Windows (e tu sei del futuro), probabilmente questo non è il tuo problema.
user2711915
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.