Як визначити припинений процес Windows, якщо я все ще маю його PID?

Передумови: У середині моєї роботи несподівано з’явилася ліцензійна угода на встановлення «Центру миші та клавіатури Microsoft». Я хотів би зрозуміти, який процес запустив налаштування, але, використовуючи Process Explorer, я побачив, що він пропав, мені вдалося знайти лише його PID (див. Скріншот).

Питання:

Якщо ви використовуєте Process Explorer , можливо, ви знаєте ситуацію, коли батьківський процес цього процесу більше не існує, і ви можете бачити лише його PID:

Чи є деякі журнали Windows, що містять асоціацію PID з запущеним процесом, щоб я міг дізнатися, який процес виконувався під заданим PID?

Переважно мене цікавлять сценарії, де я цього не очікував, тому я не використовував Монітор процесів для зйомки подій у системі.

Чи є деякі журнали Windows, що містять асоціацію PID з запущеним процесом

За замовчуванням таких журналів немає. Однак ви можете ввімкнути події відстеження процесів у Журналі подій безпеки Windows.

Примітки:

• Рішення вимагає внесення змін до групової політики за допомогою gpedit.

• На жаль, редактор групової політики (gpedit) не входить у версії Starter Edition, Home та Home Premium Windows.

• Дивіться, що в моїх запитах і запитах Windows Starter Edition, Home and Home Premium не входить gpedit, як це встановити? інструкції щодо її встановлення.

Як використовувати події відстеження процесів у журналі безпеки Windows

У Windows 2003 / XP ви отримуєте ці події, просто включивши політику аудиту відстеження процесів.

У Windows 7/2008 + вам потрібно ввімкнути створення процесу аудиту та, за бажанням, підкатегорії завершення процесу аудиту, які ви знайдете в розділі Розширена конфігурація політики аудиту в об'єктах групової політики.

Ці події є надзвичайно цінними, тому що вони дають вичерпний аудиторський слід щоразу, коли будь-який виконуваний у системі запускається як процес. Ви навіть можете визначити, як довго триває процес, пов'язуючи подію створення процесу з подією завершення процесу, використовуючи ідентифікатор процесу, знайдений в обох подіях. Приклади обох подій наведені нижче.

Джерело Як використовувати події відстеження процесів у журналі безпеки Windows

Як включити створення процесу аудиту

1. Запустіть gpedit.msc

2. Виберіть "Налаштування Windows"> "Налаштування безпеки"> "Місцева політика"> "Аудиторська політика"

   

3. Клацніть правою кнопкою миші "Відстеження процесу відстеження" та виберіть "Властивості"

4. Поставте прапорець "Успіх" і натисніть "ОК"

   

Що таке відстеження процесів аудиту

Цей параметр безпеки визначає, чи перевіряє ОС оперативні події, такі як створення процесу, припинення процесу, дублювання та непрямий доступ до об'єктів.

Якщо цей параметр політики визначений, адміністратор може вказати, чи слід перевіряти лише успіхи, лише невдачі, і успіхи, і невдачі, чи взагалі не перевіряти ці події (тобто, ні успіхи, ні збої).

Якщо ввімкнено аудит успіху, запис аудиту створюється кожного разу, коли ОС виконує одну з цих процедур.

Якщо ввімкнено аудит відмов, запис аудиту створюється кожного разу, коли ОС не виконує одну з цих дій.

За замовчуванням: немає аудиту

Важливо: Для більшого контролю над правилами аудиту використовуйте параметри у вузлі розширеної конфігурації політики аудиту. Щоб отримати докладнішу інформацію про розширену конфігурацію політики аудиту, див. Http://go.microsoft.com/fwlink/?LinkId=140969 .

Єдиний спосіб переконатися в тому, що у вас повинен бути включений аудит для відстеження створення процесів.

У програмі "Місцева політика безпеки" (введіть secpol.mscна екрані запуску, якщо у вас виникають проблеми з її пошуку), перейдіть до "Налаштування безпеки -> Локальні поліси -> Політика аудиту", а потім увімкніть "Відстеження процесу аудиту" для "Успіх".

Як тільки ви це зробите, перейдіть до переглядача подій і перевірте журнал подій "Безпечність", там ви побачите записи "Аудит успіху" кожного разу, коли процес починається чи закінчується.

Процес завершився.

Тема:
    Ідентифікатор безпеки: СИСТЕМА
    Назва рахунку: SCOTT-PC $
    Домен облікового запису: WORKGROUP
    Ідентифікатор входу: 0x3E7

Інформація про процес:
    Ідентифікатор процесу: 0x1338
    Назва процесу: C: \ Windows \ System32 \ съглас.exe
    Стан виходу: 0x0

Вам потрібно буде конвертувати ідентифікатор процесу, який ви шукаєте, з десяткової в шестигранну (3336 стає 0xD08). Найпростіший спосіб перетворення - це відкритий калькулятор Windows, перейдіть в режим «Програміст», введіть число в режимі «дек», потім натисніть на «шестигранний» режим. Показане число для вас буде перетворено у шістнадцять.

Якщо це разова річ, і ви не хочете постійно реєструвати свої процеси, я б запропонував використовувати Microsoft Process Monitor ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ). Її потрібно запускати до породження популярного, але навіть після того, як батьківський процес помер, він захопить всю інформацію, яку ви шукали.