有一些進程或應用程式會在隨機時間啟動,可能會過去幾天,直到它彈出。它只在任務欄中出現一個看起來像太陽的圖標,然後很快就消失了。我懷疑其中有可疑之處,並想弄清楚它可能是什麼。
到目前為止,我嘗試從 Windows 日誌管理中提高日誌記錄級別,但沒有發現任何異常。
你對如何追捕那東西有什麼建議嗎?
我在 Windows 10 上運行。
答案1
選項1
為了快速輕鬆地進行審查,您可以使用執行程式列表。雖然它很容易使用,但它不像第二個選項那麼詳細(見下文),例如它不會為您提供已執行程式的完整清單。或者你可以使用過程監控器。
選項2
如果您想更徹底,可以使用進程追蹤事件
如果您還沒有這樣做,則需要在 Windows 安全事件日誌中啟用進程追蹤事件以開始將來的日誌記錄(因此您必須等到下次彈出視窗出現)。
如何啟用審核流程創建
運行 gpedit.msc
選擇“Windows設定”>“安全性設定”>“本機原則”>“審核原則”
右鍵單擊“審核進程追蹤”並選擇“屬性”
勾選“成功”並點擊“確定”
如何使用審核流程創建
啟用進程追蹤事件後,您可以使用所有進程建立和刪除(以及失敗的嘗試)將顯示在安全性日誌中。
要查看它們,請執行事件檢視器。在導覽窗格中展開「Windows 日誌」子樹並按一下「安全性」。將顯示所有安全事件。
或使用以下 Powershell 指令來檢查事件:
進程開始:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
進程停止:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
感謝 DavidPostill,您會找到更詳細的答案這裡是超級用戶。