Bagaimana cara mengidentifikasi proses Windows yang dihentikan jika saya masih memiliki PID-nya?

Latar Belakang: Di tengah pekerjaan saya, perjanjian lisensi untuk menginstal "Microsoft Mouse and Keyboard Center" tiba-tiba muncul. Saya ingin memahami proses apa yang meluncurkan pengaturan, tetapi menggunakan Process Explorer, saya melihat prosesnya hilang, saya hanya dapat menemukan PID-nya (lihat tangkapan layar).

Pertanyaan:

Jika Anda menggunakan Process Explorer , Anda mungkin tahu situasi di mana proses induk dari proses tidak ada lagi dan Anda hanya dapat melihat PID-nya:

Apakah ada beberapa log Windows yang berisi asosiasi PID untuk menjalankan proses sehingga saya bisa mengetahui proses apa yang sedang berjalan di bawah PID yang diberikan?

Lebih disukai saya tertarik pada skenario, di mana saya tidak mengharapkan ini jadi saya tidak menggunakan Process Monitor untuk menangkap peristiwa dalam sistem.

— miroxlav
sumber

Jawaban:

Apakah ada beberapa log Windows yang berisi asosiasi PID untuk menjalankan proses

Secara default tidak ada log seperti itu. Namun Anda dapat mengaktifkan Acara Pelacakan Proses di Log Kejadian Keamanan Windows.

Catatan:

Solusi ini mengharuskan Anda membuat perubahan pada Kebijakan Grup menggunakan gpedit.
Sayangnya Editor Kebijakan Grup (gpedit) tidak termasuk dalam Edisi Pemula, edisi Home dan Home Premium Windows.
Lihat T&J Windows Starter Edition, Home dan Home Premium saya tidak termasuk gpedit, bagaimana cara menginstalnya? untuk petunjuk tentang cara menginstalnya.

Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows

Di Windows 2003 / XP Anda mendapatkan acara ini hanya dengan mengaktifkan kebijakan audit Pelacakan Proses.

Pada Windows 7/2008 + Anda harus mengaktifkan Pembuatan Proses Audit dan, secara opsional, subkategori Pengakhiran Proses Audit yang akan Anda temukan di Konfigurasi Kebijakan Audit Lanjutan di objek kebijakan grup.

Peristiwa ini sangat berharga karena memberikan jejak audit yang komprehensif setiap kali setiap eksekusi pada sistem dimulai sebagai suatu proses. Anda bahkan dapat menentukan berapa lama proses berjalan dengan menautkan acara pembuatan proses ke acara penghentian proses menggunakan ID Proses yang ditemukan di kedua acara. Contoh dari kedua acara ditunjukkan di bawah ini.

Sumber Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows

Cara mengaktifkan Pembuatan Proses Audit

Jalankan gpedit.msc
Pilih "Pengaturan Windows"> "Pengaturan Keamanan"> "Kebijakan Lokal"> "Kebijakan Audit"
Klik kanan "Pelacakan proses audit" dan pilih "Properti"
Periksa "Sukses" dan klik "OK"

Apa itu Pelacakan Proses Audit

Pengaturan keamanan ini menentukan apakah OS mengaudit kejadian terkait proses seperti pembuatan proses, penghentian proses, menangani duplikasi, dan akses objek tidak langsung.

Jika pengaturan kebijakan ini ditentukan, administrator dapat menentukan apakah hanya akan mengaudit keberhasilan, hanya kegagalan, baik keberhasilan maupun kegagalan, atau untuk tidak mengaudit peristiwa ini sama sekali (yaitu tidak ada keberhasilan maupun kegagalan).

Jika Audit sukses diaktifkan, entri audit dihasilkan setiap kali OS melakukan salah satu dari kegiatan yang berhubungan dengan proses ini.

Jika audit Kegagalan diaktifkan, entri audit dihasilkan setiap kali OS gagal melakukan salah satu dari kegiatan ini.

Default: Tidak ada audit

Penting: Untuk kontrol lebih lanjut atas kebijakan audit, gunakan pengaturan di simpul Konfigurasi Kebijakan Audit Lanjutan. Untuk informasi lebih lanjut tentang Konfigurasi Kebijakan Audit Lanjut, lihat http://go.microsoft.com/fwlink/?LinkId=140969 .

— DavidPostill
sumber

Dave, mungkin Anda bisa menggunakan pendekatan "pistol tercepat di barat" . Ketika Anda menulis jawaban panjang dan rumit, saya melakukan langkah-langkah dalam jawaban yang lain (sama seperti yang Anda tambahkan kemudian) dan akan menerimanya. Jadi sekarang saya memiliki dilema yang menjawab untuk menerima ... :)

— miroxlav

Saya lebih suka memiliki jawaban terbaik daripada jawaban pertama;) Jika mereka adalah hal yang sama maka itu adalah bonus. Saya memberi tahu Anda (dalam komentar yang sekarang sudah dibersihkan) bahwa saya sedang mempersiapkan jawaban saya. Dan saya menggunakan koneksi internet tertambat lambat melalui ponsel saya: /

— DavidPostill

Oh ya, benar. OTOH, mungkin jangan malu untuk menulis "Anda dapat mengaktifkan audit logging di kebijakan lokal", memposting dan terus membuat jawaban dengan nilai pendidikan. Kadang-kadang bahkan petunjuk kecil bisa lebih membantu saya (OP) daripada menunggu 60 menit untuk jawaban yang bagus :) Maksudku, saya tahu di mana kebijakan lokal, saya hanya perlu petunjuk kecil.

— miroxlav

@ Davidvidost: Akan lebih baik jika Anda bisa menyebutkan seberapa sering log ini dibersihkan (atau seberapa sering mereka harus dibersihkan secara manual), karena saya membayangkan mereka bisa menjadi cukup lama ...

— user541686

@Mehrdad Log peristiwa dapat, jika perlu, dihapus dari baris perintah menggunakan wevtutil. Itu lebih mudah daripada menggunakan Event Viewer GUI.

— DavidPostill

Satu-satunya cara untuk melihat adalah Anda harus memiliki audit yang diaktifkan untuk melacak pembuatan proses.

Dari program "Kebijakan Keamanan Lokal" (Ketik secpol.mscdari layar jalankan jika Anda kesulitan menemukannya) pergi ke "Pengaturan Keamanan -> Kebijakan Lokal -> Kebijakan Audit" lalu aktifkan "pelacakan proses audit" untuk "Sukses".

Setelah Anda melakukannya, buka penampil acara dan periksa log peristiwa "Secruity", di sana Anda akan melihat entri "Audit Success" untuk setiap kali suatu proses dimulai atau berakhir.

Suatu proses telah keluar.

Subyek:
    ID Keamanan: SISTEM
    Nama Akun: SCOTT-PC $
    Domain Akun: WORKGROUP
    ID masuk: 0x3E7

Informasi proses:
    ID Proses: 0x1338
    Nama Proses: C: \ Windows \ System32 \ consent.exe
    Status Keluar: 0x0

Anda perlu mengubah ID Proses yang Anda cari dari desimal menjadi hex (3336 menjadi 0xD08). Cara termudah untuk mengkonversi adalah membuka kalkulator windows, masuk ke mode "Programmer", masukkan nomor dalam mode "dec", lalu klik pada mode "hex". Nomor yang ditampilkan akan dikonversi menjadi hex untuk Anda.

— Scott Chamberlain
sumber

Ya, inilah jawaban yang saya harapkan. Sederhananya: aktifkan beberapa penebangan dan dengan demikian menjadi dapat memeriksa hasilnya.

— miroxlav

Jika ini adalah satu hal dan Anda tidak ingin selalu mencatat proses Anda, saya sarankan menggunakan Microsoft Process Monitor ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ). Itu perlu dijalankan sebelum yang populer muncul, tetapi bahkan setelah proses induk mati itu akan menangkap semua informasi yang Anda cari.

— mrTomahawk
sumber