我有一个阻止 powershell.exe 写入受保护文件夹的程序。是否有任何日志可以告诉我是什么触发了 powershell.exe?我有它被阻止时的时间戳。
答案1
用户写入日志而不是可执行文件。
如果您想跟踪 PowerShell 代码(命令/脚本)操作,您需要通过 GPO/LPO 启用完整的 Powershell 日志记录/审核以及转录日志记录,然后按照说明挖掘事件日志或设置警报来通知您。
https://adamtheautomator.com/powershell-logging-2
最后,powershell.exe 不是 Powershell。powershell.exe 只是运行 PowerShell 代码/命令的主机。
https://www.youtube.com/watch?v=54xwcNMb1wo https://leanpub.com/thebigbookofpowershellgotchas
人们可以编写自己的 PowerShell 主机并运行所选择的任何 PowerShell 命令/脚本。
哎呀,可以将 powershell.exe 重命名为其他名称来运行它。