如何判断cmd.exe弹出窗口执行了什么命令？

Question

是的，你一定可以知道。

首先打开 gpedit.msc 并转到

本地计算机策略计算机配置>Windows 设置>安全设置>高级审核策略配置>系统审核策略>详细跟踪，然后单击审核过程创建并选中成功和失败。

然后转到

本地计算机策略计算机配置>管理模板>系统>审核进程创建并单击在进程创建事件中包含命令行并启用该策略。

现在，每次登录 Windows 时，您都可以记录所有事件，并使用以下方法获取进程启动时间和父进程：

Get-WinEvent Security | Where-Object {$_.id -eq 4688} | Where-Object { $_.Properties[5].Value -match 'conhost' } | Select TimeCreated,@{ Label = "ParentProcess"; Expression = { $_.Properties[13].Value } }

或者获取详细信息（所有属性）：

Get-WinEvent Security | Where-Object {$_.id -eq 4688}

事件的创建编号为 4688，您也可以在事件查看器中查看。您可以使用Export-Csv它将结果导出到 CSV 文件。

灵感来自https://devblogs.microsoft.com/commandline/how-to-determine-what-just-ran-on-windows-console/

Answer 1

是的，你一定可以知道。

首先打开 gpedit.msc 并转到

本地计算机策略计算机配置>Windows 设置>安全设置>高级审核策略配置>系统审核策略>详细跟踪，然后单击审核过程创建并选中成功和失败。

然后转到

本地计算机策略计算机配置>管理模板>系统>审核进程创建并单击在进程创建事件中包含命令行并启用该策略。

现在，每次登录 Windows 时，您都可以记录所有事件，并使用以下方法获取进程启动时间和父进程：

Get-WinEvent Security | Where-Object {$_.id -eq 4688} | Where-Object { $_.Properties[5].Value -match 'conhost' } | Select TimeCreated,@{ Label = "ParentProcess"; Expression = { $_.Properties[13].Value } }

或者获取详细信息（所有属性）：

Get-WinEvent Security | Where-Object {$_.id -eq 4688}

事件的创建编号为 4688，您也可以在事件查看器中查看。您可以使用Export-Csv它将结果导出到 CSV 文件。

灵感来自https://devblogs.microsoft.com/commandline/how-to-determine-what-just-ran-on-windows-console/

如何判断cmd.exe弹出窗口执行了什么命令？

答案1

相关内容