我使用几个搜索词在 Google 上进行搜索,试图发现当用户尝试运行未列入白名单的应用程序时,Windows 是否会记录日志,如果是,那么记录在哪个事件日志中。
有人可以解释一下这个问题吗?
编辑以添加详细信息:我说的是组策略编辑器中创建的软件限制策略的白名单例外。如果用户只有权限运行两个可执行文件(foo.exe 和 bar.exe)并尝试运行第三个可执行文件(grapes.exe),那么运行第三个可执行文件的尝试会被记录吗?如果会,记录的信息是什么?记录在哪里?
答案1
我不确定您所说的 Windows 中的“白名单”是什么意思,但这个操作系统在程序打开时确实会保存日志文件。
下面是 Windows 中一些包含日志信息的目录列表。
Windows资源管理器
描述:最近从 Windows 资源管理器打开的文件 位置:C:\Users\\AppData\Roaming\Microsoft\Windows\Recent Items 您关心的原因:了解最近打开了哪些文件非常有用。认为有人正在访问挪用公款的记录?也许这里有指向 Excel 文件的指针,可以引导您找到数据的存储位置。您还可以在此处看到视频和图像的链接。我以前在为 ISSA 做演示时就遇到过这种情况,这让我很尴尬。:) 参赛者:Irongeek,但感谢 Nir。
描述:最近从“运行”栏运行的项目 位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 关注原因:了解用户使用 Windows 运行栏运行的内容很有用,但在 Vista 和 Windows 7 中,许多人使用“搜索程序和文件”文本框,该文本框不会显示在此注册表项中。作者:Irongeek,但感谢 Nir。
描述:用户帮助 位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 关注原因:该键应该包含有关 Windows GUI 访问的程序和快捷方式的信息,包括执行次数和上次执行日期,但其存储方式并不明显。Didier Stevens 有一个工具可以解析此处的数据: http://blog.didierstevens.com/programs/userassist/ 我测试的版本似乎无法在 Windows 7 上运行,但 Stevens 先生正在处理这个问题。作者:Irongeek,但感谢 Nir 和 Didier Stevens。
描述:事件日志 位置:应位于 C:\Windows\System32\config 或 C:\Windows\System32\winevt\Logs,具体取决于操作系统 您关心的原因:这些文件可能已重新定位,因此请在桌面上搜索 *.evt 和 *.evtx。让您了解盒子上发生的所有事情。作者:Irongeek。
该信息取自 Ironeeks,如果您想要一个 GUI 程序来查看打开的程序,您可以搜索“UserAssist Didier Stevens”。
请注意,我不能发布这两件事的链接,因为我会被指控发送垃圾邮件和推广网站。