¿Windows registra los programas que se han ejecutado / llamado?

36

En Windows, ¿hay un registro que registre qué programas se ejecutaron / llamaron?

Mientras navegaba por Internet, veía una página estática sin anuncios, clics del mouse, pulsaciones de teclas o complementos / complementos / scripts misceláneos en ejecución, solo vi una consola CMD.exe espontánea abrirse y luego cerrarse inmediatamente en un instante, lo suficientemente rápido como para que yo no pude ver nada en la ventana, y sin aparente activación por mi parte.

Me pregunto si hay algún tipo de registro de Windows que muestre qué programas se han ejecutado / llamado / activado. Me gustaría ver lo que sucedía detrás de escena cuando esta ventana de la consola se iluminó, y espero poder determinar que no fue algo malicioso.

Como referencia, estoy ejecutando Windows 7 Ultimate x64.

windows-7 windows command-line logging event-log Coldblackice
fuente
¿Fue esto en el inicio o estabas instalando algo?
Jan Doggen
Simplemente estaba navegando en Internet, y ni siquiera activamente. Estaba leyendo una página web estática que ya se había cargado, sin clics, pulsaciones de teclas ni solicitudes archivadas. Estoy editando la pregunta ahora para mejorarla, ya que realmente estoy preguntando si hay algún tipo de registro de ejecuciones / iniciaciones de programas, y específicamente, un símbolo del sistema.
Coldblackice
Intenta ver en el visor de eventos de Windows.
stderr
@ JanDoggen Fue en la mitad del día, sin ningún tipo de inicio, cierre, reinicio o instalación. Estaba leyendo en mi navegador en una página ya cargada, con todas las ventanas emergentes / anuncios / scripts deshabilitados, sin escaneos / actualizaciones de virus programados. Además, pude ver que era una ventana de símbolo del sistema que parpadeaba y luego desaparecía.
Coldblackice
1
Solo enfrenté un problema similar y me encontré con tu pregunta, ¿has descubierto qué fue eso?
tío Lem

Respuestas:

29

No podrá comprobar qué funcionó, pero puede prepararse para la próxima vez. Si abres secpol.mscpuedes ir a local policies/audit policy. Active Success(y quizás también Failure) Audit process trackingy obtendrá una entrada de registro de eventos en el registro de eventos de seguridad cada vez que un proceso comience o termine. Desafortunadamente, verá el proceso que se ejecutó pero no la línea de comando con la que se inició.

Si activa la auditoría, se pueden generar muchos registros, por lo que debe ajustar el tamaño del registro de eventos de seguridad.

Puede acceder a los registros con eventvwr.msc, protocolos de Windows, Seguridad.

Werner Henze
fuente
Si no veo la línea de comando, ¿qué veré?
Dims
@Dims Si se inició "notepad myfile.txt", verá "notepad" pero no el "myfile.txt".
Werner Henze
@WernerHenze, ¿de todos modos hacer esto en una computadora en casa? ... Windows no puede encontrarsecpol.msc
Pacerier
@Pacerier ¿Qué versión / edición de Windows?
Werner Henze
¿Dónde están ubicados los registros?
tisaconundrum
10

Mark Russinovich Sysinternals Process Monitor lo hace. Entre los accesos de archivo / reg / red de seguimiento, puede rastrear la vida útil de proc / thread y permite una gran cantidad de filtrado.

Val
fuente
1
¿Tendría que haber estado ejecutándose para capturar un proceso que se abrió? ¿O puede informar la vida útil del hilo independientemente del seguimiento de Procmon?
Coldblackice
¿Qué "esto" es independiente de pmon? ¿Te refieres a monitorear sin el monitor? ¿Cómo te imaginas esto?
Val
1
Lo que quise decir es que Process Monitor debería haberse ejecutado para realizar un seguimiento de la vida útil de los procesos / subprocesos, o ¿está almacenado globalmente de forma independiente de Process Monitor?
Coldblackice
2
Process Monitor es lo que dice: un monitor. No es Windows Log Viewer. Inyecta algunos controladores en las funciones principales de Windows y registra las llamadas él mismo. No puede monitorear sin el monitor. ¿De acuerdo?
Val
1
¡Vaya! Estaba confundiendo Process Monitor con Process Explorer. Process Explorer puede ver los tiempos de inicio / ejecución del proceso sin haber estado activo (monitoreo) cuando el programa respectivo se inició por primera vez. Pensé que estaba hablando de Process Explorer. Gracias.
Coldblackice
2

Puede haber sido una tarea programada en ejecución. Consulte el Programador de tareas para ver las tareas.

También puede verificar el Visor de eventos para cualquier cosa, aunque probablemente no tenga nada.


fuente
-2

Lo mismo aquí Windows 7 Ultimate x64 (español).

Descubrí que el culpable es: C: \ Archivos de programa (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Aparentemente es un error Know.

Jorge Ramirez
fuente
Probablemente este no sea el problema encontrado por el póster original, sin embargo, cuando habilité el registro de auditoría para los procesos (como lo sugirió Werner Herze) resultó que este era el problema en mi caso. A partir de mayo de 2017, esto se solucionará en una futura actualización de Windows "pronto". Si el problema persiste después de actualizar Windows (y usted es del futuro), probablemente este no sea su problema.
user2711915