여전히 PID가있는 경우 종료 된 Windows 프로세스를 식별하는 방법은 무엇입니까?

배경 : 작업 중에 "Microsoft Mouse and Keyboard Center"설치에 대한 라이센스 계약이 갑자기 나타났습니다. 프로세스가 설정을 시작한 프로세스를 이해하고 싶지만 프로세스 탐색기를 사용하여 사라졌습니다. PID 만 찾을 수있었습니다 (스크린 샷 참조).

질문:

Process Explorer를 사용 하는 경우 프로세스의 상위 프로세스가 더 이상 존재하지 않고 PID 만 볼 수있는 상황을 알고있을 것입니다.

PID와 실행중인 프로세스의 연관성을 포함하는 Windows 로그가 있습니까? 따라서 주어진 PID에서 어떤 프로세스가 실행되고 있는지 알 수 있습니까?

바람직하게는 시나리오에 관심이 있습니다.이를 기대하지 않았기 때문에 시스템에서 이벤트를 캡처하기 위해 프로세스 모니터 를 사용하지 않았습니다 .

— miroxlav
소스

답변:

실행중인 프로세스와 PID의 연관성을 포함하는 Windows 로그가 있습니까?

기본적으로 이러한 로그는 없습니다. 그러나 Windows 보안 이벤트 로그에서 프로세스 추적 이벤트를 활성화 할 수 있습니다.

노트:

솔루션을 사용하여 그룹 정책을 변경해야합니다 gpedit.
불행히도 그룹 정책 편집기 (gpedit)는 Starter Edition, Home 및 Home Premium 에디션의 Windows에 포함되어 있지 않습니다.
Q & A Windows Starter Edition, Home 및 Home Premium에 gpedit가 포함되어 있지 않습니다. 어떻게 설치합니까?를 참조하십시오. 설치 방법에 대한 지침.

Windows 보안 로그에서 프로세스 추적 이벤트를 사용하는 방법

Windows 2003 / XP에서는 단순히 프로세스 추적 감사 정책을 활성화하여 이러한 이벤트를 얻습니다.

Windows 7 / 2008 +에서는 그룹 정책 개체의 고급 감사 정책 구성 아래에있는 감사 프로세스 생성 및 선택적으로 감사 프로세스 종료 하위 범주를 활성화해야합니다.

이러한 이벤트는 시스템에서 실행 파일을 프로세스로 시작할 때마다 포괄적 인 감사 추적을 제공하기 때문에 매우 중요합니다. 두 이벤트 모두에서 찾은 프로세스 ID를 사용하여 프로세스 작성 이벤트를 프로세스 종료 이벤트에 링크하여 프로세스 실행 시간을 판별 할 수도 있습니다. 두 이벤트의 예가 아래에 나와 있습니다.

소스 Windows 보안 로그에서 사용 프로세스 추적 이벤트에 어떻게

감사 프로세스 작성을 사용하는 방법

gpedit.msc를 실행하십시오.
"Windows 설정"> "보안 설정"> "로컬 정책"> "감사 정책"을 선택하십시오.
"감사 프로세스 추적"을 마우스 오른쪽 단추로 클릭하고 "속성"을 선택하십시오.
"성공"을 확인하고 "확인"을 클릭하십시오

감사 프로세스 추적이란 무엇입니까

이 보안 설정은 OS가 프로세스 작성, 프로세스 종료, 핸들 복제 및 간접 오브젝트 액세스와 같은 프로세스 관련 이벤트를 감사하는지 여부를 결정합니다.

이 정책 설정이 정의 된 경우 관리자는 성공 만, 실패 만, 성공과 실패를 모두 감사할지 또는 이러한 이벤트를 전혀 감사하지 않을지 (즉, 성공이나 실패 여부)를 지정할 수 있습니다.

성공 감사가 사용 가능한 경우, OS가 이러한 프로세스 관련 활동 중 하나를 수행 할 때마다 감사 항목이 생성됩니다.

감사 실패가 활성화되면 OS가 이러한 활동 중 하나를 수행하지 못할 때마다 감사 항목이 생성됩니다.

기본값 : 감사 없음

중요 : 감사 정책을보다 강력하게 제어하려면 Advanced Audit Policy Configuration (고급 감사 정책 구성) 노드의 설정을 사용하십시오. 고급 감사 정책 구성에 대한 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=140969를 참조하십시오 .

— DavidPostill
소스

데이브, 아마도 당신은 "서쪽에서 가장 빠른 총"접근법을 사용할 수있을 것 입니다 길고 정교한 답변을 작성하는 동안 다른 답변 (나중에 추가 한 것과 동일)의 단계를 수행하여 수락하려고했습니다. 그래서 지금은 대답은 ... :) 동의하는 딜레마가

— miroxlav

나는 첫 번째 대답보다 오히려 가장 좋은 대답을 원할 것입니다.) 동일한 것이라면 그것은 보너스입니다. 나는 내 대답을 준비하고 있다고 (지금 정리 된 의견으로) 알렸다. 그리고 내 모바일을 통한 느린 테더 인터넷 연결을 사용하고 있습니다 : /

— DavidPostill

아 그래 OTOH는 아마도 "지역 정책에서 감사 로깅을 활성화 할 수 있습니다"라고 쓰고, 교육적 가치가있는 답변을 게시하고 계속 작성하는 것을 부끄러워하지 않을 것입니다. 때로는 작은 단서조차도 큰 대답을 얻기 위해 60 분을 기다리는 것보다 나 (OP)를 더 잘 도울 수 있습니다.) 현지 정책이 어디에 있는지 알고, 약간의 단서가 필요했습니다.

— miroxlav

@DavidPostill : 로그가 얼마나 자주 정리되는지 (또는 수동으로 얼마나 자주 정리해야하는지) 언급 할 수 있다면 좋을 것입니다. 왜냐하면 꽤 오래 걸릴 수 있다고 생각하기 때문입니다.

— user541686

@Mehrdad 필요한 경우을 사용하여 명령 줄에서 이벤트 로그를 삭제할 수 있습니다 wevtutil. Event Viewer GUI를 사용하는 것보다 쉽습니다.

— DavidPostill

볼 수있는 유일한 방법은 프로세스 생성을 추적하기 위해 감사를 활성화해야합니다.

"로컬 보안 정책"프로그램에서 ( secpol.msc찾을 수없는 경우 실행 화면에서 입력 ) "보안 설정-> 로컬 정책-> 감사 정책"으로 이동 한 다음 "성공"에 대해 "감사 프로세스 추적"을 활성화하십시오.

일단 이벤트 뷰어로 가서 "Secruity"이벤트 로그를 확인하면 프로세스가 시작되거나 종료 될 때마다 "감사 성공"항목이 표시됩니다.

프로세스가 종료되었습니다.

제목:
    보안 ID : SYSTEM
    계정 이름 : SCOTT-PC $
    계정 도메인 : WORKGROUP
    로그온 ID : 0x3E7

공정 정보 :
    프로세스 ID : 0x1338
    프로세스 이름 : C : \ Windows \ System32 \ consent.exe
    종료 상태 : 0x0

찾고있는 프로세스 ID를 10 진수에서 16 진수로 변환해야합니다 (3336은 0xD08이 됨). 가장 쉬운 변환 방법은 Windows 계산기를 열고 "프로그래머"모드로 이동하여 "dec"모드에서 숫자를 입력 한 다음 "16 진수"모드를 클릭하는 것입니다. 표시된 숫자는 16 진수로 변환됩니다.

— 스캇 체임벌린
소스

예, 이것이 제가 예상했던 답변입니다. 간단히 말해서 : 일부 로깅을 활성화하면 결과를 확인할 수 있습니다.

— miroxlav

이것이 한 번이고 항상 프로세스를 로깅하지 않으려면 Microsoft Process Monitor ( https://technet.microsoft.com/en-us/Library/bb896645.aspx )를 사용하는 것이 좋습니다 . 인기가 생성되기 전에 실행해야하지만 상위 프로세스가 종료 된 후에도 찾고 있던 모든 정보를 캡처합니다.

— mr 토마 호크
소스