某个进程或应用程序在随机时间启动,可能过了几天才出现。它只出现在任务栏上,有一个看起来像太阳的图标,然后很快就消失了。我怀疑这有点可疑,想弄清楚它是什么。
到目前为止,我尝试从 Windows 日志管理中增加日志记录级别,但没有发现任何异常。
你对如何追捕那个东西有什么建议吗?
我在 Windows 10 上运行。
答案1
选项1
为了快速轻松地进行审查,您可以使用执行程序清单。虽然它易于使用,但它不像第二个选项(见下文)那么详细,例如,它不会为您提供已执行程序的完整列表。或者,您可以使用进程监控器。
选项 2
如果你想要更彻底,你可以使用进程跟踪事件
如果您还没有这样做,您需要在 Windows 安全事件日志中启用进程跟踪事件以开始未来的日志记录(因此您必须等到下次弹出窗口)。
如何启用审计流程创建
运行 gpedit.msc
选择“Windows 设置”>“安全设置”>“本地策略”>“审核策略”
右键单击“审计进程跟踪”,并选择“属性”
勾选“成功”,点击“确定”
如何使用审计流程创建
一旦启用进程跟踪事件,您可以使用所有进程创建和删除(以及失败的尝试)将出现在安全日志中。
要查看它们,请运行事件查看器。在导航窗格中展开“Windows 日志”子树并单击“安全”。将显示所有安全事件。
或者使用以下 Powershell 命令来检查事件:
进程开始:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
进程停止:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
感谢 DavidPostill,你会找到更详细的答案此处为超级用户。