Wie kann ich in Windows eine Anwendung aufspüren, die kurz auftaucht und wieder verschwindet?

Question

Option 1

Für eine schnelle und einfache Überprüfung können Sie verwendenAusgeführteProgrammliste. Obwohl es einfach zu verwenden ist, ist es nicht so detailliert wie die zweite Option (siehe unten), z. B. gibt es Ihnen keine vollständige Liste der ausgeführten Programme. Alternativ können Sie verwendenProzessMonitor.

Option 2

Wenn Sie gründlicher sein möchten, können Sie Prozessverfolgungsereignisse verwenden

Wenn Sie dies noch nicht getan haben, müssen Sie Prozessverfolgungsereignisse im Windows-Sicherheitsereignisprotokoll aktivieren, um die zukünftige Protokollierung zu starten (Sie müssen also warten, bis das Popup das nächste Mal angezeigt wird).

So aktivieren Sie die Erstellung von Prüfprozessen

Führen Sie gpedit.msc aus
Wählen Sie „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Lokale Richtlinien“ > „Überwachungsrichtlinie“
Klicken Sie mit der rechten Maustaste auf „Audit-Prozessverfolgung“ und wählen Sie „Eigenschaften“
Markieren Sie „Erfolgreich“ und klicken Sie auf „OK“.

So verwenden Sie die Prüfprozesserstellung

Sobald die Prozessverfolgungsereignisse aktiviert sind, werden alle Prozesserstellungen und -löschungen (und fehlgeschlagenen Versuche hierzu) im Sicherheitsprotokoll angezeigt.

Um sie anzuzeigen, führen Sie die Ereignisanzeige aus. Erweitern Sie im Navigationsbereich den Unterbaum „Windows-Protokolle“ und klicken Sie auf „Sicherheit“. Alle Sicherheitsereignisse werden angezeigt.

Alternativ können Sie mit folgenden Powershell-Befehlen die Ereignisse untersuchen:

Prozessstart:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Prozessstopp:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

Dank DavidPostill finden Sie eine viel detailliertere Antworthier auf Superuser.

Answer 1

Option 1

Für eine schnelle und einfache Überprüfung können Sie verwendenAusgeführteProgrammliste. Obwohl es einfach zu verwenden ist, ist es nicht so detailliert wie die zweite Option (siehe unten), z. B. gibt es Ihnen keine vollständige Liste der ausgeführten Programme. Alternativ können Sie verwendenProzessMonitor.

Option 2

Wenn Sie gründlicher sein möchten, können Sie Prozessverfolgungsereignisse verwenden

Wenn Sie dies noch nicht getan haben, müssen Sie Prozessverfolgungsereignisse im Windows-Sicherheitsereignisprotokoll aktivieren, um die zukünftige Protokollierung zu starten (Sie müssen also warten, bis das Popup das nächste Mal angezeigt wird).

So aktivieren Sie die Erstellung von Prüfprozessen

Führen Sie gpedit.msc aus
Wählen Sie „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Lokale Richtlinien“ > „Überwachungsrichtlinie“
Klicken Sie mit der rechten Maustaste auf „Audit-Prozessverfolgung“ und wählen Sie „Eigenschaften“
Markieren Sie „Erfolgreich“ und klicken Sie auf „OK“.

So verwenden Sie die Prüfprozesserstellung

Sobald die Prozessverfolgungsereignisse aktiviert sind, werden alle Prozesserstellungen und -löschungen (und fehlgeschlagenen Versuche hierzu) im Sicherheitsprotokoll angezeigt.

Um sie anzuzeigen, führen Sie die Ereignisanzeige aus. Erweitern Sie im Navigationsbereich den Unterbaum „Windows-Protokolle“ und klicken Sie auf „Sicherheit“. Alle Sicherheitsereignisse werden angezeigt.

Alternativ können Sie mit folgenden Powershell-Befehlen die Ereignisse untersuchen:

Prozessstart:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Prozessstopp:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

Dank DavidPostill finden Sie eine viel detailliertere Antworthier auf Superuser.

Wie kann ich in Windows eine Anwendung aufspüren, die kurz auftaucht und wieder verschwindet?

Antwort1

Option 1

Option 2

verwandte Informationen