Como descobrir quais programas foram executados quando foram interrompidos
Por padrão, não há registros de quais programas foram executados.
No entanto, você pode habilitar os eventos de rastreamento de processos no log de eventos de segurança do Windows (veja as instruções abaixo) e essas informações estarão disponíveis para você no futuro.
Depois que os Process Tracking Events estiverem ativados, você poderá usar os seguintes comandos do Powershell para examinar os eventos:
Início do processo:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
Parada do processo:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
Os comandos acima despejam as informações do evento na tela.
Como usar eventos de rastreamento de processo no log de segurança do Windows
No Windows 2003 / XP, você obtém esses eventos simplesmente ativando a política de auditoria Process Tracking.
No Windows 7/2008 +, você precisa habilitar as subcategorias de Processo de Auditoria e, opcionalmente, as subcategorias de Processo de Auditoria, encontradas em Configuração Avançada da Política de Auditoria nos objetos de política de grupo.
Esses eventos são incrivelmente valiosos porque fornecem uma trilha de auditoria abrangente sempre que qualquer executável no sistema é iniciado como um processo . Você pode até determinar por quanto tempo o processo foi executado, vinculando o evento de criação do processo ao evento de encerramento do processo usando o ID do processo encontrado nos dois eventos. Exemplos de ambos os eventos são mostrados abaixo.
Origem Como usar os eventos de rastreamento de processo no log de segurança do Windows
Como habilitar a criação do processo de auditoria
Execute gpedit.msc
Selecione "Configurações do Windows"> "Configurações de segurança"> "Políticas locais"> "Política de auditoria"
Clique com o botão direito do mouse em "Audit process tracking" e selecione "Properties"
Marque "Sucesso" e clique em "OK"
O que é o acompanhamento do processo de auditoria
Essa configuração de segurança determina se o SO audita eventos relacionados ao processo, como criação, término, manipulação de duplicação e acesso indireto a objetos.
Se essa configuração de política for definida, o administrador poderá especificar se deve auditar apenas sucessos, apenas falhas, sucessos e falhas ou se não deve auditar esses eventos (por exemplo, nem sucessos nem falhas).
Se a auditoria de sucesso estiver ativada, uma entrada de auditoria será gerada toda vez que o sistema operacional executar uma dessas atividades relacionadas ao processo.
Se a auditoria de falhas estiver ativada, uma entrada de auditoria será gerada toda vez que o SO falhar ao executar uma dessas atividades.
Padrão: sem auditoria
Importante: Para obter mais controle sobre as políticas de auditoria, use as configurações no nó Configuração avançada da política de auditoria. Para obter mais informações sobre a Configuração avançada da diretiva de auditoria, consulte
http://go.microsoft.com/fwlink/?LinkId=140969 .
E o ExecutedProgramList da Nirsoft? Posso usar isso?
ExecutedProgramList não fornece uma lista completa dos programas que foram executados.
Por exemplo, ele não lista nenhum dos programas portáteis que estou executando no meu pen drive, por exemplo, Agent, Notepad ++, GSNotes, bem como quase todos os programas Cygwin em execução desde a minha última reinicialização.
Não listará nenhum programa que não grave nada nos locais mencionados no link:
A lista de programas executados anteriormente é coletada das seguintes fontes de dados:
- Chave do registro:
HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- Chave do registro:
HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- Chave do registro:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- Chave do registro:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- Pasta Pré-busca do Windows (C: \ Windows \ Prefetch)
Origem ExecutedProgramList
Leitura adicional