如何确定谁安装了某个程序？

Question 1

根据您的日志记录级别，您可能能够查看事件日志并查看谁调用了安装程序。

事实上，我刚刚在默认的 2008 R2 VM 上安装了 Adobe Reader，并且发现它记录了安装该程序的用户。有点。

事件 ID 1040，来源：MsiInstaller 用户 ID：[GUID]。

安装程序

将该 GUID 与用户关联起来，您就成功了。

当然，如果您不幸没有该日志条目，那么最好的办法就是仔细检查，看看是否可以确定它的安装时间，并将其与安全事件日志进行关联，以确定当时是否有交互式登录会话。

Adobe 安装程序日志可能更有助于缩小安装的精确时间范围，因为您的日志记录级别可能甚至没有在事件日志中记录非 MS 应用程序的安装。无论哪种方式，都可能需要找到精确的时间，并查看安全日志以确定谁安装了打开类型 2 或类型 10 登录在那段时间内。

这确实有点麻烦，如果你是那个被派去进行日志挖掘的人，那么快速分析一下找出这些 [并非完全确定的] 信息需要花费多少成本/收益可能不是一个坏主意，因为它并不是确凿的证据。它会给你一个非常有力的证据来说明是谁做的，但除非你的日志记录级别足够高，可以看到哪个用户调用了安装程序，否则它不会被视为确凿的证据。（或者至少我从未见过有人这样做。）

Answer

根据您的日志记录级别，您可能能够查看事件日志并查看谁调用了安装程序。

事实上，我刚刚在默认的 2008 R2 VM 上安装了 Adobe Reader，并且发现它记录了安装该程序的用户。有点。

事件 ID 1040，来源：MsiInstaller 用户 ID：[GUID]。

安装程序

将该 GUID 与用户关联起来，您就成功了。

当然，如果您不幸没有该日志条目，那么最好的办法就是仔细检查，看看是否可以确定它的安装时间，并将其与安全事件日志进行关联，以确定当时是否有交互式登录会话。

Adobe 安装程序日志可能更有助于缩小安装的精确时间范围，因为您的日志记录级别可能甚至没有在事件日志中记录非 MS 应用程序的安装。无论哪种方式，都可能需要找到精确的时间，并查看安全日志以确定谁安装了打开类型 2 或类型 10 登录在那段时间内。

这确实有点麻烦，如果你是那个被派去进行日志挖掘的人，那么快速分析一下找出这些 [并非完全确定的] 信息需要花费多少成本/收益可能不是一个坏主意，因为它并不是确凿的证据。它会给你一个非常有力的证据来说明是谁做的，但除非你的日志记录级别足够高，可以看到哪个用户调用了安装程序，否则它不会被视为确凿的证据。（或者至少我从未见过有人这样做。）

Question 2

使用事件查看器，您可以过滤Application log事件 ID 11707。按您认为程序安装的特定日期/时间进行搜索，它还会列出用户名。如果您需要跟踪谁在何时安装了什么，这非常有用。

或者，如果您需要查看Application log谁11724联合国安装了一个应用程序。

信息发现于本网站。

Answer

使用事件查看器，您可以过滤Application log事件 ID 11707。按您认为程序安装的特定日期/时间进行搜索，它还会列出用户名。如果您需要跟踪谁在何时安装了什么，这非常有用。

或者，如果您需要查看Application log谁11724联合国安装了一个应用程序。

信息发现于本网站。

Question 3

检查 c:\users\\downloads 和用户临时目录中是否存在与 adobe 相关的文件。

Answer

检查 c:\users\\downloads 和用户临时目录中是否存在与 adobe 相关的文件。

如何确定谁安装了某个程序？

答案1

答案2

答案3

相关内容