Windows enregistre-t-il les programmes exécutés / appelés?

36

Sous Windows, existe-t-il un journal qui enregistre les programmes exécutés / appelés?

Lors de la navigation sur Internet, de l'affichage d'une page statique sans annonces, clics de souris, pressions de touches ou divers plugins / addons / scripts en cours d'exécution, je viens de voir une console CMD.exe spontanée s'ouvrir et se fermer immédiatement en un éclair, assez rapidement pour que je n'a rien pu voir dans la fenêtre - et sans déclenchement apparent de ma part.

Je me demande s'il existe un type de journal Windows qui montre quels programmes ont été exécutés / appelés / activés? J'aimerais voir ce qui se passait dans les coulisses lorsque cette fenêtre de console a clignoté, et j'espère déterminer que ce n'était pas quelque chose de voyou.

Pour référence, j'utilise Windows 7 Ultimate x64.

windows-7 windows command-line logging event-log Coldblackice
la source
Était-ce au démarrage ou installiez-vous quelque chose?
Jan Doggen
Je naviguais simplement sur Internet - et même pas activement. Je lisais une page Web statique qui avait déjà été chargée, sans clics, pressions sur les touches ou demandes déposées. Je modifie la question maintenant pour l'améliorer, car je demande vraiment s'il existe un type de journal des exécutions / initiations de programme, et en particulier, une invite de commande.
Coldblackice
Essayez de voir dans l'observateur d'événements de Windows.
stderr
@JanDoggen C'était au milieu de la journée, loin des démarrages, des arrêts, des redémarrages ou des installations. Je lisais simplement dans mon navigateur sur une page déjà chargée, toutes les fenêtres contextuelles / annonces / scripts sont désactivées, sans analyse antivirus / mise à jour programmée. De plus, je pouvais voir que c'était une fenêtre d'invite de commande qui clignotait puis disparaissait.
Coldblackice
1
Vous venez de faire face à un problème similaire et vous avez rencontré votre question, avez-vous découvert ce que c'était?
oncle Lem

Réponses:

29

Vous ne pourrez pas vérifier ce qui s'est passé, mais vous pouvez vous préparer pour la prochaine fois. Si vous ouvrez, secpol.mscvous pouvez aller à local policies/audit policy. Activez Success(et peut-être aussi Failure) sur Audit process trackinget vous obtiendrez une entrée de journal des événements dans le journal des événements de sécurité chaque fois qu'un processus démarre ou se termine. Malheureusement, vous verrez le processus qui s'est exécuté, mais pas la ligne de commande avec laquelle il a été démarré.

Si vous activez l'audit, de nombreux journaux peuvent être générés, vous devez donc ajuster la taille du journal des événements de sécurité.

Vous pouvez accéder aux journaux avec eventvwr.msc, protocoles Windows, sécurité.

Werner Henze
la source
Si je ne vois pas la ligne de commande, que verrai-je?
Dims
@Dims Si "notepad myfile.txt" a été démarré, vous verrez "notepad" mais pas le "myfile.txt".
Werner Henze
@WernerHenze, Quoi qu'il en soit pour le faire sur un ordinateur personnel? ... Windows ne peut pas trouversecpol.msc
Pacerier
@Pacerier Quelle version / édition de Windows?
Werner Henze
où se trouvent les journaux?
tisaconundrum
10

C'est ce que fait Mark Russinovich Sysinternals Process Monitor . Parmi les accès aux fichiers / reg / réseau de suivi, il peut suivre la durée de vie de proc / thread et permet beaucoup de filtrage.

Val
la source
1
Cela aurait-il dû être exécuté pour capturer un processus qui s'est ouvert? Ou est-il capable de signaler la durée de vie du thread indépendamment du suivi de Procmon?
Coldblackice
Qu'est-ce que "ceci" est indépendant de pmon? Voulez-vous dire surveillance sans moniteur? Comment imaginez-vous cela?
Val
1
Ce que je voulais dire - Process Monitor aurait-il dû être en cours d'exécution pour suivre la durée de vie de proc / thread, ou est-ce stocké globalement indépendamment de Process Monitor?
Coldblackice
2
Process Monitor est ce qu'il dit - un moniteur. Ce n'est pas la visionneuse de journaux Windows. Il injecte certains pilotes dans les fonctions principales de Windows et enregistre les appels lui-même. Vous ne pouvez pas surveiller sans moniteur. D'accord?
Val
1
Oups - J'ai confondu Process Monitor avec Process Explorer - Process Explorer peut voir les heures de démarrage / d'exécution du processus sans avoir été actif (surveillance) lors du premier démarrage du programme respectif. Je pensais que c'était Process Explorer dont vous parliez. Merci.
Coldblackice
2

Il s'agissait peut-être d'une tâche planifiée en cours d'exécution. Vérifiez le Planificateur de tâches pour les tâches.

Vous pouvez également vérifier l'Observateur d'événements pour tout, même s'il n'aura probablement rien.


la source
-2

Idem ici Windows 7 Ultimate x64 (espagnol).

J'ai découvert que le coupable était: C: \ Program Files (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Apparemment, c'est un bug Know.

Jorge Ramirez
la source
Ce n'est probablement pas le problème rencontré par l'affiche originale, mais lorsque j'ai activé la journalisation d'audit pour les processus (comme suggéré par Werner Herze), il s'est avéré que c'était le problème dans mon cas. En mai 2017, cela devrait être corrigé dans une future mise à jour Windows "bientôt". Si le problème persiste après la mise à jour de Windows (et que vous venez du futur), ce n'est probablement pas votre problème.
user2711915