Як дізнатися, які програми запускалися після їх зупинки
За замовчуванням не існують журнали запущених програм.
Тим НЕ менше, ви можете включити відстеження процесу подій в журналі безпеки подій Windows (дивіться нижче інструкції) , і ця інформація буде доступна для вас в майбутньому.
Після включення подій відстеження процесів ви можете використовувати наступні команди Powershell для вивчення подій:
Запуск процесу:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
Зупинка процесу:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
Вищенаведені команди скидають інформацію про події на екран.
Як використовувати події відстеження процесів у журналі безпеки Windows
У Windows 2003 / XP ви отримуєте ці події, просто включивши політику аудиту відстеження процесів.
У Windows 7/2008 + потрібно ввімкнути створення процесу аудиту та, за бажанням, підкатегорії завершення процесу аудиту, які ви знайдете в розділі Розширена конфігурація політики аудиту в об'єктах групової політики.
Ці події є надзвичайно цінними, тому що вони дають вичерпний аудиторський слід щоразу, коли будь-який виконуваний у системі запускається як процес . Ви навіть можете визначити, як довго триває процес, пов'язуючи подію створення процесу з подією завершення процесу, використовуючи ідентифікатор процесу, знайдений в обох подіях. Приклади обох подій наведені нижче.
Джерело Як використовувати події відстеження процесів у журналі безпеки Windows
Як включити створення процесу аудиту
Запустіть gpedit.msc
Виберіть "Налаштування Windows"> "Налаштування безпеки"> "Місцева політика"> "Аудиторська політика"
Клацніть правою кнопкою миші "Відстеження процесу відстеження" та виберіть "Властивості"
Поставте прапорець "Успіх" і натисніть "ОК"
Що таке відстеження процесів аудиту
Цей параметр безпеки визначає, чи ОС перевіряє події, пов’язані з процесами, такі як створення процесу, завершення процесу, дублювання та непрямий доступ до об'єктів.
Якщо цей параметр політики визначений, адміністратор може вказати, чи слід перевіряти лише успіхи, лише невдачі, як успіхи, так і невдачі, чи взагалі не перевіряти ці події (тобто ні успіхи, ні збої).
Якщо ввімкнено аудит успіху, запис аудиту створюється кожного разу, коли ОС виконує одну з цих процедур.
Якщо ввімкнено аудит відмов, запис аудиту створюється кожного разу, коли ОС не виконує одну з цих дій.
За замовчуванням: немає аудиту
Важливо: Для більшого контролю над правилами аудиту використовуйте параметри у вузлі розширеної конфігурації політики аудиту. Щоб отримати докладнішу інформацію про розширену конфігурацію політики аудиту, див.
Http://go.microsoft.com/fwlink/?LinkId=140969 .
А як щодо ExecutedProgramList від Nirsoft? Чи можу я це використати?
ExecutedProgramList не дає повного переліку програм, які були виконані.
Наприклад, у ній не вказано жодної з портативних програм, які я зараз запускаю з мого пальця, наприклад агент, блокнот ++, GSNotes, а також майже всі програми Cygwin, які я запускав з мого останнього перезавантаження.
У ньому не відображатиметься жодна програма, яка нічого не записує у вказані у посиланні місця:
Список раніше виконаних програм збирається з таких джерел даних:
- Ключ реєстру:
HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- Ключ реєстру:
HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- Ключ реєстру:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- Ключ реєстру:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- Папка попереднього вибору Windows (C: \ Windows \ Prefetch)
Джерело ExecutedProgramList
Подальше читання