我有一个 Windows 11。
在一天中的随机时间点,cmd.exe 会弹出一瞬间然后再次关闭。
我一直在试图弄清楚如何捕捉触发这些 CMD 创建的原因。
我发现了这个特定的脚本,它收集最近运行的内容,最近的 25 条记录。
PS C:\WINDOWS\system32> Get-WinEvent -FilterHashtable @{
>> LogName = 'Security'
>> ID = 4688
>> } | Select-Object TimeCreated,@{name='NewProcessName';expression={ $_.Properties[5].Value }}, @{name='CommandLine';expression={ $_.Properties[8].Value }} | select -First 25
TimeCreated NewProcessName
----------- --------------
22/7/2023 5:19:26 PM C:\Windows\System32\conhost.exe
22/7/2023 5:19:26 PM C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
22/7/2023 5:19:25 PM C:\Windows\System32\consent.exe
22/7/2023 5:19:25 PM C:\Windows\System32\smartscreen.exe
22/7/2023 5:19:24 PM C:\Windows\SysWOW64\dllhost.exe
22/7/2023 5:19:24 PM C:\Windows\System32\dllhost.exe
22/7/2023 5:16:34 PM C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
22/7/2023 5:10:45 PM C:\Windows\System32\mmc.exe
22/7/2023 5:10:44 PM C:\Windows\System32\consent.exe
22/7/2023 5:10:44 PM C:\Windows\System32\mmc.exe
22/7/2023 5:10:44 PM C:\Windows\System32\dllhost.exe
22/7/2023 5:09:14 PM C:\Program Files\WindowsApps\Microsoft.WindowsNotepad_10.2102.13.0_x64__8wekyb3d8bbwe\Notepad\N...
22/7/2023 5:08:54 PM C:\Windows\System32\conhost.exe
22/7/2023 5:08:54 PM C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
22/7/2023 5:08:54 PM C:\Windows\System32\smartscreen.exe
22/7/2023 5:08:54 PM C:\Windows\System32\dllhost.exe
22/7/2023 5:08:49 PM C:\Windows\System32\svchost.exe
22/7/2023 5:08:48 PM C:\Windows\System32\backgroundTaskHost.exe
22/7/2023 5:08:45 PM C:\Windows\System32\wbem\WmiPrvSE.exe
22/7/2023 5:07:01 PM C:\Windows\System32\svchost.exe
22/7/2023 5:06:22 PM C:\Windows\System32\RuntimeBroker.exe
22/7/2023 5:06:22 PM C:\Windows\System32\backgroundTaskHost.exe
22/7/2023 5:02:20 PM C:\Windows\SysWOW64\SearchProtocolHost.exe
22/7/2023 5:00:38 PM C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.22000.2173_none_...
但这并没有指出谁是“参与者”或“触发者”。我创建了自定义 XML 事件查看器来监视 CMD.exe,但我觉得它也不准确:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security"> *[System[(EventID=4688)] and EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\cmd.exe')]]
</Select>
</Query>
</QueryList>
结果 -
我已经没有主意了。我已经研究这个问题三天了,但还是找不到导致 cmd.exe 弹出的明确解决方案。
我认为不可能将 /k 参数作为任何 cmd 触发器的默认值。我能做什么?我的目标是要么保持被调用的 cmd 保持打开状态,以便我可以查明罪魁祸首,要么有一个监控工具来审核 cmd.exe 的创建。
补充一点:
- 我已在组策略中启用对 cmd.exe 的审核。
- 这是我自己的个人设备。
更新 1:在该线程进行所有更改后,该情况仍然发生。
突出显示的部分是我的屏幕全部最小化后的几秒钟,并在一瞬间显示了类似“命令提示符”的屏幕。
答案1
4688:已创建新进程,确实如此不需要提升权限或者联合航空同意执行因为它正在使用type 3并假设您已启用 UAC。
%%1938:类型3是受限令牌,已删除管理权限并禁用管理组。受限令牌用于启用用户帐户控制时, 应用程序不需要管理权限,并且用户未选择使用以管理员身份运行来启动该程序。
帮助缩小执行流程并评估修改它以利用cmd /k参数或者禁止终端窗口弹出。
答案2
你的图片有答案:
Creator Process Name: C:\Program Files\Google\Play Games\current\service\Service.exe
Process Command Line: "cmd" /c vulkaninfo.exe
Vulkaninfo 进程与 AMD 和 NVIDIA 等现代显卡使用的 Vulkan 图形 API 相关。此文件也在我的 System32 中,并且由英特尔签名,因此完全合法。
我建议从制造商网站将你的显卡驱动程序更新到最新版本。同时检查你是否可以更新 Google Play 游戏或限制其操作。