在 Windows 中,是否有记录运行/调用了哪些程序的日志?
在浏览互联网、查看没有广告、鼠标点击、键盘按下或运行各种插件/附加组件/脚本的静态页面时,我只看到一个自发的 CMD.exe 控制台弹出,然后立即在一瞬间关闭,速度非常快以至于我无法在窗口中看到任何东西——并且没有任何明显的触发行为。
我想知道是否有某种类型的 Windows 日志可以显示已运行/调用/激活了哪些程序?我想看看当此控制台窗口闪烁时幕后发生了什么,并希望确定这不是什么恶意程序。
作为参考,我正在运行 Windows 7 Ultimate x64。
答案1
您将无法检查运行了什么,但可以为下一次做好准备。如果您打开,secpol.msc您可以转到local policies/audit policy。激活Success(也可能激活Failure)Audit process tracking,每次进程启动或结束时,您都会在安全事件日志中获得事件日志条目。不幸的是,您会看到运行的进程,但看不到启动它的命令行。
如果您激活审核,可能会生成大量日志,因此您应该调整安全事件日志的大小。
eventvwr.msc您可以使用、Windows 协议、安全性访问日志。
答案2
马克·鲁西诺维奇 Sysinternals进程监控就是这样。在跟踪文件/reg/网络访问的同时,它可以跟踪 proc/线程生命周期并允许进行大量过滤。
答案3
这可能是正在运行的计划任务。请检查任务计划程序中的任务。
您还可以检查事件查看器中是否有任何内容,尽管它可能什么也没有。
答案4
Windows 7 Ultimate x64 (西班牙语) 也一样。
我发现罪魁祸首是:C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe
显然这是一个已知的错误。