Come identificare il processo Windows terminato se ho ancora il suo PID?

Sfondo: Nel mezzo del mio lavoro, improvvisamente è apparso l'accordo di licenza per l'installazione di "Microsoft Mouse and Keyboard Center". Mi piacerebbe capire quale processo ha avviato l'installazione, ma usando Process Explorer, ho visto che è andato, sono stato in grado di trovare solo il suo PID (vedi screenshot).

Domanda:

Se stai usando Process Explorer , forse conosci la situazione in cui il processo parent del processo non esiste più e puoi solo vedere il suo PID:

Esistono alcuni registri di Windows che contengono l'associazione di PID al processo in esecuzione in modo che io possa scoprire quale processo era in esecuzione con il PID specificato?

Preferibilmente sono interessato agli scenari, in cui non me lo aspettavo, quindi non ho usato Process Monitor per acquisire eventi nel sistema.

Esistono alcuni registri di Windows contenenti l'associazione di PID al processo in esecuzione

Per impostazione predefinita, non esistono registri di questo tipo. Tuttavia, è possibile abilitare Eventi di tracciabilità dei processi nel registro eventi di sicurezza di Windows.

Appunti:

• La soluzione richiede di apportare modifiche ai Criteri di gruppo utilizzando gpedit.

• Purtroppo l'Editor criteri di gruppo (gpedit) non è incluso nelle versioni Starter Edition, Home e Home Premium di Windows.

• Vedi le mie domande e risposte Windows Starter Edition, Home e Home Premium non includono gpedit, come posso installarlo? per istruzioni su come installarlo.

Come utilizzare gli eventi di rilevamento processi nel registro di sicurezza di Windows

In Windows 2003 / XP si ottengono questi eventi semplicemente abilitando il criterio di controllo Tracking del processo.

In Windows 7/2008 + è necessario abilitare la creazione del processo di controllo e, facoltativamente, le sottocategorie di completamento del processo di controllo che si trovano in Configurazione avanzata dei criteri di controllo negli oggetti dei criteri di gruppo.

Questi eventi sono incredibilmente preziosi perché forniscono una traccia di controllo completa ogni volta che qualsiasi eseguibile sul sistema viene avviato come processo. È anche possibile determinare la durata del processo collegando l'evento di creazione del processo all'evento di terminazione del processo utilizzando l'ID processo trovato in entrambi gli eventi. Di seguito sono riportati esempi di entrambi gli eventi.

Origine Come utilizzare gli eventi di rilevamento processi nel registro di sicurezza di Windows

Come abilitare la creazione del processo di audit

1. Esegui gpedit.msc

2. Seleziona "Impostazioni di Windows"> "Impostazioni di sicurezza"> "Criteri locali"> "Criteri di controllo"

   

3. Fare clic con il tasto destro del mouse su "Tracciamento del processo di controllo" e selezionare "Proprietà"

4. Seleziona "Operazione riuscita" e fai clic su "OK"

   

Che cos'è il monitoraggio del processo di verifica

Questa impostazione di sicurezza determina se il sistema operativo controlla gli eventi relativi al processo come la creazione del processo, la conclusione del processo, la gestione della duplicazione e l'accesso indiretto agli oggetti.

Se viene definita questa impostazione di criterio, l'amministratore può specificare se controllare solo gli esiti positivi, solo gli errori, sia gli esiti positivi che i guasti, oppure se non controllare affatto tali eventi (ovvero né esiti positivi o negativi).

Se il controllo riuscito è abilitato, viene generata una voce di controllo ogni volta che il sistema operativo esegue una di queste attività correlate al processo.

Se il controllo degli errori è abilitato, viene generata una voce di controllo ogni volta che il sistema operativo non riesce a svolgere una di queste attività.

Impostazione predefinita: nessun controllo

Importante: per un maggiore controllo sui criteri di controllo, utilizzare le impostazioni nel nodo Configurazione avanzata criteri di controllo. Per ulteriori informazioni sulla configurazione avanzata dei criteri di controllo, vedere http://go.microsoft.com/fwlink/?LinkId=140969 .

L'unico modo per vedere è che il controllo deve essere abilitato per tenere traccia della creazione dei processi.

Dal programma "Criteri di sicurezza locali" (digitare secpol.mscdalla schermata di esecuzione se si riscontrano problemi nel trovarlo) andare su "Impostazioni di sicurezza -> Politiche locali -> Criteri di controllo" quindi abilitare il "Tracciamento del processo di controllo" per "Esito positivo".

Una volta fatto, vai al Visualizzatore eventi e controlla il registro eventi "Secruity", lì dentro vedrai le voci "Audit Success" ogni volta che un processo viene avviato o terminato.

È uscito un processo.

Soggetto:
    ID sicurezza: SYSTEM
    Nome account: SCOTT-PC $
    Dominio account: WORKGROUP
    ID di accesso: 0x3E7

Informazioni sul processo:
    ID processo: 0x1338
    Nome del processo: C: \ Windows \ System32 \ consent.exe
    Stato uscita: 0x0

Dovrai convertire l'ID processo che stai cercando da decimale in esadecimale (3336 diventa 0xD08). Il modo più semplice per convertire è aprire il calcolatore di Windows, andare in modalità "Programmatore", inserire il numero in modalità "dec", quindi fare clic sulla modalità "esadecimale". Il numero visualizzato verrà convertito in esadecimale per te.

Se questa è una cosa sola e non si desidera registrare sempre i processi, suggerirei di utilizzare Microsoft Process Monitor ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ). Deve essere eseguito prima che il popolare venga generato, ma anche dopo che il processo genitore è morto avrà catturato tutte le informazioni che stavi cercando.