O Windows registra programas que foram executados / chamados?

36

No Windows, existe um log que registra quais programas foram executados / chamados?

Enquanto navegava na Internet, visualizando uma página estática sem anúncios, cliques no mouse, pressionamentos de tecla ou plugins / addons / scripts diversos em execução, vi um console espontâneo do CMD.exe abrir e fechar imediatamente em um flash, rápido o suficiente para que eu não consegui ver nada na janela - e sem nenhum aparente gatilho da minha parte.

Gostaria de saber se existe algum tipo de log do Windows que mostre quais programas foram executados / chamados / ativados? Eu gostaria de ver o que estava acontecendo nos bastidores quando essa janela do console piscou, e espero determinar que não era algo desonesto.

Para referência, estou executando o Windows 7 Ultimate x64.

windows-7 windows command-line logging event-log Coldblackice
fonte
Isso estava na inicialização ou você estava instalando alguma coisa?
precisa
Eu estava apenas navegando na internet - e nem mesmo ativamente. Eu estava lendo uma página estática da Web que já havia sido carregada, sem cliques, pressionamentos de tecla ou solicitações arquivadas. Estou editando a pergunta agora para melhorá-la, pois estou realmente perguntando se existe algum tipo de log de execuções / iniciações de programas e, especificamente, um prompt de comando.
precisa saber é o seguinte
Tente ver no visualizador de eventos do Windows.
stderr
@JanDoggen Era no meio do dia, nem perto de startups, desligamentos, reinicializações ou instalações. Estava lendo meu navegador em uma página já carregada, com todos os pop-ups / anúncios / scripts desativados, sem nenhuma verificação / atualização de vírus agendada. Além disso, pude ver que era uma janela de prompt de comando que piscou e desapareceu.
Coldblackice
11
Acabou de enfrentar um problema semelhante e se deparou com sua pergunta, você descobriu o que era aquilo?
uncle Lem

Respostas:

29

Você não poderá verificar o que foi executado, mas poderá se preparar para a próxima vez. Se você abrir, secpol.mscpode ir para local policies/audit policy. Ative Success(e talvez também Failure) Audit process trackinge você receberá uma entrada do log de eventos no log de eventos de segurança toda vez que um processo for iniciado ou encerrado. Infelizmente, você verá o processo que foi executado, mas não a linha de comando com a qual foi iniciada.

Se você ativar a auditoria, muitos logs poderão ser gerados, portanto, você deve ajustar o tamanho do log de eventos de segurança.

Você pode acessar os logs com eventvwr.mscprotocolos do Windows, Segurança.

Werner Henze
fonte
Se eu não vir a linha de comando, o que vou ver?
Dims
@Dims Se "notepad myfile.txt" foi iniciado, você verá "notepad", mas não o "myfile.txt".
Werner Henze
@WernerHenze, Enfim, para fazer isso em um computador doméstico? ... Windows não consegue encontrarsecpol.msc
Pacerier
@Pacerier Qual versão / edição do Windows?
Werner Henze
onde estão localizados os logs?
tisaconundrum 24/0318
10

O Mark Russinovich Sysinternals Process Monitor faz isso. Entre os acessos de arquivos / reg / rede de rastreamento, ele pode rastrear a vida útil do proc / thread e permite muita filtragem.

Val
fonte
11
Isso teria que estar em execução para capturar um processo que foi aberto? Ou é capaz de relatar a vida útil do encadeamento independentemente do rastreamento do Procmon?
precisa saber é o seguinte
O que "isso" é independente de pmon? Você quer dizer monitorar sem o monitor? Como você imagina isso?
Val
11
O que eu quis dizer - o Process Monitor precisaria estar em execução para rastrear a vida útil do proc / thread, ou isso é armazenado globalmente independentemente do Process Monitor?
Coldblackice
2
Process Monitor é o que diz - um monitor. Não é o Windows Log Viewer. Ele injeta alguns drivers nas funções principais do Windows e registra as chamadas a si mesmo. Você não pode monitorar sem o monitor. OK?
Val
11
Ops - Eu estava confundindo o Process Monitor com o Process Explorer - o Process Explorer pode ver os tempos de início / execução do processo sem estar ativo (monitoramento) quando o respectivo programa foi iniciado pela primeira vez. Eu pensei que era o Process Explorer que você estava falando. Obrigado.
precisa saber é o seguinte
2

Pode ter sido uma tarefa agendada em execução. Verifique o Agendador de tarefas para tarefas.

Você também pode verificar se há algo no Visualizador de Eventos, embora provavelmente não tenha nada.


fonte
-2

Mesmo aqui Windows 7 Ultimate x64 (espanhol).

Descobri que o culpado é: C: \ Arquivos de Programas (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Aparentemente, é um bug do Know.

Jorge Ramirez
fonte
Provavelmente, esse não é o problema encontrado pelo pôster original; no entanto, quando habilitei o log de auditoria de processos (como sugerido por Werner Herze), verificou-se que esse era o problema no meu caso. A partir de maio de 2017, isso deverá ser corrigido em uma futura atualização do Windows "em breve". Se o problema persistir após a atualização do Windows (e você é do futuro), provavelmente esse não é o seu problema.
precisa saber é o seguinte