如果我仍然有它的 PID,如何识别终止的 Windows 进程?
mir*_*lav 16 windows process pid process-explorer windows-8
背景:在我工作的途中,突然出现了安装“微软鼠标和键盘中心”的许可协议。我想了解启动设置的进程,但使用进程资源管理器,我看到它不见了,我只能找到它的 PID(见截图)。
题:
如果您使用Process Explorer,您可能知道该进程的父进程不再存在并且只能看到其 PID 的情况:
是否有一些 Windows 日志包含 PID 与正在运行的进程的关联,以便我可以找出在给定 PID 下运行的进程?
我最好对我没有预料到的场景感兴趣,所以我没有使用Process Monitor来捕获系统中的事件。
Dav*_*ill 11
是否有一些 Windows 日志包含 PID 与正在运行的进程的关联
默认情况下没有这样的日志。但是,您可以在 Windows 安全事件日志中启用进程跟踪事件。
笔记:
该解决方案需要使用
gpedit.不幸的是,Windows 的入门版、家庭版和家庭高级版不包含组策略编辑器 (gpedit)。
查看我的问答Windows Starter Edition、Home 和 Home Premium 不包含 gpedit,我该如何安装?有关如何安装它的说明。
如何在 Windows 安全日志中使用进程跟踪事件
在 Windows 2003/XP 中,您只需启用进程跟踪审核策略即可获得这些事件。
在 Windows 7/2008+ 中,您需要启用 Audit Process Creation 和可选的 Audit Process Termination 子类别,您可以在组策略对象的 Advanced Audit Policy Configuration 下找到这些子类别。
这些事件非常有价值,因为它们提供了系统上任何可执行文件每次作为进程启动时的全面审计跟踪。您甚至可以通过使用在两个事件中找到的进程 ID 将进程创建事件链接到进程终止事件来确定进程运行了多长时间。这两个事件的示例如下所示。
如何启用审计流程创建
运行 gpedit.msc
选择“Windows 设置”>“安全设置”>“本地策略”>“审核策略”
右键单击“审核过程跟踪”并选择“属性”
勾选“成功”并点击“确定”
什么是审计过程跟踪
此安全设置确定操作系统是否审核与进程相关的事件,例如进程创建、进程终止、句柄重复和间接对象访问。
如果定义了此策略设置,管理员可以指定是仅审核成功、仅审核失败、成功和失败,还是根本不审核这些事件(即既不成功也不审核)。
如果启用了成功审核,则每次操作系统执行这些与流程相关的活动之一时都会生成一个审核条目。
如果启用了故障审核,则每次操作系统未能执行这些活动之一时都会生成一个审核条目。
默认:无审计
重要提示:要对审核策略进行更多控制,请使用“高级审核策略配置”节点中的设置。有关高级审核策略配置的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=140969。