작업 관리자에 실행중인 프로그램이 표시됩니다. 종료 된 프로그램을 어떻게 볼 수 있습니까?

작업 관리자 가 표시 할 수없는 정도로 중지 된 경우에도 내 컴퓨터에서 실행중인 프로그램을 어떻게 알 수 있습니까?

나는 내 컴퓨터를 단독으로 사용하지 않으며 때로는 의심 스럽다.

중지되었을 때 어떤 프로그램이 실행 중인지 어떻게 알 수 있습니까

기본적으로 어떤 프로그램이 실행되었는지에 대한 로그는 없습니다.

그러나 Windows 보안 이벤트 로그 에서 프로세스 추적 이벤트 를 사용하도록 설정할 수 있으며 (자세한 내용은 아래 참조) 나중에이 정보를 사용할 수 있습니다.

프로세스 추적 이벤트가 활성화되면 다음 Powershell 명령을 사용하여 이벤트를 검사 할 수 있습니다.

프로세스 시작 :

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

프로세스 중지 :

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

위의 명령은 이벤트 정보를 화면에 덤프합니다.

Windows 보안 로그에서 프로세스 추적 이벤트를 사용하는 방법

Windows 2003 / XP에서는 프로세스 추적 감사 정책을 활성화하여 이러한 이벤트를 얻습니다.

Windows 7 / 2008 +에서는 그룹 정책 개체의 고급 감사 정책 구성 아래에있는 감사 프로세스 생성 및 선택적으로 감사 프로세스 종료 하위 범주를 활성화해야합니다.

이러한 이벤트는 시스템에서 실행 파일을 프로세스로 시작할 때마다 포괄적 인 감사 추적을 제공하기 때문에 매우 중요합니다 . 두 이벤트 모두에서 찾은 프로세스 ID를 사용하여 프로세스 작성 이벤트를 프로세스 종료 이벤트에 링크하여 프로세스 실행 시간을 판별 할 수도 있습니다. 두 이벤트의 예가 아래에 나와 있습니다.

소스 Windows 보안 로그에서 사용 프로세스 추적 이벤트에 어떻게

감사 프로세스 생성을 활성화하는 방법

1. gpedit.msc를 실행하십시오.

   • 참고 : 불행히도 그룹 정책 편집기는 초보자 용, 홈 및 홈 프리미엄 버전의 Windows에 포함되어 있지 않습니다.
   • 내 답변보기 Windows Starter Edition, Home 및 Home Premium에 gpedit.msc를 어떻게 설치합니까? 설치 지침.

2. "Windows 설정"> "보안 설정"> "로컬 정책"> "감사 정책"을 선택하십시오.

   

3. "감사 프로세스 추적"을 마우스 오른쪽 단추로 클릭하고 "속성"을 선택하십시오.

4. "성공"을 확인하고 "확인"을 클릭하십시오

   

감사 프로세스 추적이란 무엇입니까

이 보안 설정은 OS가 프로세스 작성, 프로세스 종료, 핸들 복제 및 간접 오브젝트 액세스와 같은 프로세스 관련 이벤트를 감사하는지 여부를 결정합니다.

이 정책 설정이 정의 된 경우 관리자는 성공 만, 실패 만, 성공과 실패를 모두 감사할지 또는 이러한 이벤트를 전혀 감사하지 않을지 (즉, 성공이나 실패 여부)를 지정할 수 있습니다.

성공 감사가 사용 가능한 경우, OS가 이러한 프로세스 관련 활동 중 하나를 수행 할 때마다 감사 항목이 생성됩니다.

감사 실패가 활성화되면 OS가 이러한 활동 중 하나를 수행하지 못할 때마다 감사 항목이 생성됩니다.

기본값 : 감사 없음

중요 : 감사 정책을보다 강력하게 제어하려면 Advanced Audit Policy Configuration (고급 감사 정책 구성) 노드의 설정을 사용하십시오. 고급 감사 정책 구성에 대한 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=140969를 참조하십시오 .

Nirsoft의 ExecutedProgramList는 어떻습니까? 사용할 수 있습니까?

ExecutedProgramList 는 실행 된 전체 프로그램 목록을 제공하지 않습니다.

예를 들어, 현재 엄지 드라이브에서 실행중인 휴대용 프로그램 (예 : Agent, Notepad ++, GSNotes) 및 마지막 재시작 이후에 실행 한 거의 모든 Cygwin 프로그램은 표시되지 않습니다.

링크에 언급 된 위치에 아무것도 쓰지 않는 프로그램은 나열하지 않습니다.

이전에 실행 된 프로그램 목록은 다음 데이터 소스에서 수집됩니다.

• 레지스트리 키 : HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• 레지스트리 키 : HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
• 레지스트리 키 : HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
• 레지스트리 키 : HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
• Windows 프리 페치 폴더 (C : \ Windows \ Prefetch)

소스 실행 프로그램 목록

추가 자료

• Windows 보안 로그 백과 사전
• PowerShell을 사용하여 보안 로그의 오프라인 분석 수행
• Get-Eventlog Cmdlet 사용
• PowerShell Cmdlet을 사용하여 쉽게 구문 분석 할 수 있도록 이벤트 로그 필터링
• PowerShell을 사용한 손쉬운 이벤트 로그 쿼리

Nirsoft에는 시스템에서 실행되는 프로그램 및 배치 파일 목록을 보여주는 작은 무료 응용 프로그램 인 ExecutedProgramList가 있습니다. Windows 고유의 제한으로 인해 응용 프로그램이 마지막으로 시작된 시간을 항상 표시 할 수있는 것은 아니며 @DavidPostill에서 언급했듯이 휴대용 응용 프로그램을 놓칠 수 있습니다.

Windows에서 정보를 얻으므로 목록을 컴파일하기 위해 실행할 필요가 없습니다.

프로세스 히스토리 도이를 수행합니다. 무료이며 이식 가능한 프로세스 데이터베이스입니다.

간단한 휴대용 .zip 다운로드입니다. 다운로드 사이트에서 비디오와 함께 사용하는 방법에 대한 매뉴얼이 있습니다.

프로세스 히스토리가 실행되는 동안 별도의 GUI를 통해 종료 된 프로세스를 조회 할 수 있습니다.

XP의 모든 Windows 버전에서 실행됩니다.

(저는이 오픈 소스 소프트웨어의 저자입니다.)