Как отследить приложение в Windows, которое появляется и исчезает через некоторое время?

Question

Опция 1

Для быстрого и легкого просмотра вы можете использоватьExecutedProgramList. Хотя он прост в использовании, он не такой подробный, как второй вариант (см. ниже), например, он не даст вам полный список программ, которые были выполнены. В качестве альтернативы вы можете использоватьProcessMonitor.

Вариант 2

Если вы хотите быть более точными, вы можете использовать события отслеживания процессов.

Если вы еще этого не сделали, вам необходимо включить события отслеживания процессов в журнале событий безопасности Windows, чтобы начать ведение журнала в будущем (поэтому вам придется подождать, пока всплывающее окно не появится в следующий раз).

Как включить создание процесса аудита

Запустить gpedit.msc
Выберите «Параметры Windows» > «Параметры безопасности» > «Локальные политики» > «Политика аудита».
Щелкните правой кнопкой мыши «Аудит отслеживания процессов» и выберите «Свойства».
Отметьте «Успешно» и нажмите «ОК».

Как использовать создание процесса аудита

После включения событий отслеживания процессов вы сможете использовать все создания и удаления процессов (а также неудачные попытки их создания) в журнале безопасности.

Чтобы просмотреть их, запустите Event Viewer. В навигационной панели разверните поддерево "Журналы Windows" и нажмите "Безопасность". Будут отображены все события безопасности.

В качестве альтернативы можно использовать следующие команды Powershell для проверки событий:

Начало процесса:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Остановка процесса:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

Благодаря DavidPostill вы найдете гораздо более подробный ответ.здесь, на суперпользователе.

Answer 1

Опция 1

Для быстрого и легкого просмотра вы можете использоватьExecutedProgramList. Хотя он прост в использовании, он не такой подробный, как второй вариант (см. ниже), например, он не даст вам полный список программ, которые были выполнены. В качестве альтернативы вы можете использоватьProcessMonitor.

Вариант 2

Если вы хотите быть более точными, вы можете использовать события отслеживания процессов.

Если вы еще этого не сделали, вам необходимо включить события отслеживания процессов в журнале событий безопасности Windows, чтобы начать ведение журнала в будущем (поэтому вам придется подождать, пока всплывающее окно не появится в следующий раз).

Как включить создание процесса аудита

Запустить gpedit.msc
Выберите «Параметры Windows» > «Параметры безопасности» > «Локальные политики» > «Политика аудита».
Щелкните правой кнопкой мыши «Аудит отслеживания процессов» и выберите «Свойства».
Отметьте «Успешно» и нажмите «ОК».

Как использовать создание процесса аудита

После включения событий отслеживания процессов вы сможете использовать все создания и удаления процессов (а также неудачные попытки их создания) в журнале безопасности.

Чтобы просмотреть их, запустите Event Viewer. В навигационной панели разверните поддерево "Журналы Windows" и нажмите "Безопасность". Будут отображены все события безопасности.

В качестве альтернативы можно использовать следующие команды Powershell для проверки событий:

Начало процесса:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Остановка процесса:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

Благодаря DavidPostill вы найдете гораздо более подробный ответ.здесь, на суперпользователе.

Как отследить приложение в Windows, которое появляется и исчезает через некоторое время?

решение1

Опция 1

Вариант 2

Связанный контент