有没有办法查看在 Windows 上运行的最后一个批处理(something.bat)是什么?我在一个包含大量批处理的文件夹中,我通过右键单击并选择 notepad++ 逐个打开它们。我觉得我可以单击“以管理员身份运行”而不是单击“使用 notepad++ 打开”。但我不确定,因此我在想是否有办法查看在 Windows 上最后运行的 bat 文件是什么(以及何时运行)。它是 Windows 2008 服务器。感谢您的帮助。
答案1
Windows 没有一个简单的启动进程日志。有一个很接近的日志是注册表项UserAssist:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
它包含某些已执行进程的条目,最有趣的子项是:
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
但是这些条目是 ROT13 编码的。您可以复制值名称并手动解码。相反,您可以使用一个工具来解密这些条目,Didier Stevens 的 UserAssist
如果你需要了解已执行的进程,你至少有两个选项可以启用一些日志记录。当然,这仅适用于未来的进程启动:
使能够Windows 审核
使用系统监控来自 SysInternals
第二个更容易设置,而且很可能使用较少的资源。但是它只记录新进程的启动。如果您在 Explorer 中双击或单击open批处理文件,则此方法可以正常工作,但如果从 cmd.exe 中启动,则不会记录批处理执行。
答案2
尝试事件日志。单击“开始”,然后键入“事件日志”。在左侧的“Windows 日志”下,单击“应用程序”。
批处理文件需要有特定的代码来将异常或已完成的消息转储到日志中。如果没有,你可能就没那么幸运了。
答案3
以下之一应该可以给你这个(现在无法测试):
Nirsoft 的 Winprefetch 视图
Nirsoft 的上次活动视图