मुझे कैसे पता चलेगा कि क्या कार्यक्रम चल रहे हैं जब उन्हें रोक दिया गया है
डिफ़ॉल्ट रूप से कोई लॉग नहीं हैं जो प्रोग्राम चलाए गए हैं।
हालाँकि, आप Windows सुरक्षा ईवेंट लॉग में प्रक्रिया ट्रैकिंग ईवेंट सक्षम कर सकते हैं (निर्देशों के लिए नीचे देखें) और यह जानकारी भविष्य में आपके लिए उपलब्ध होगी।
एक बार प्रक्रिया ट्रैकिंग ईवेंट सक्षम हो जाने के बाद, आप घटनाओं की जांच करने के लिए निम्न पॉवरशेल कमांड का उपयोग कर सकते हैं:
प्रक्रिया प्रारंभ:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
प्रक्रिया बंद:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
उपरोक्त आदेश स्क्रीन पर ईवेंट जानकारी को डंप करते हैं।
Windows सुरक्षा लॉग में प्रक्रिया ट्रैकिंग घटनाओं का उपयोग कैसे करें
Windows 2003 / XP में आप केवल प्रक्रिया ट्रैकिंग ऑडिट नीति को सक्षम करके इन घटनाओं को प्राप्त करते हैं।
विंडोज 7/2008 + में आपको ऑडिट प्रोसेस क्रिएशन को सक्षम करने की आवश्यकता है और वैकल्पिक रूप से, ऑडिट प्रोसेस टर्मिनेशन उपश्रेणियाँ जो आपको समूह नीति ऑब्जेक्ट में उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन के तहत मिलेंगी।
ये घटनाएं अविश्वसनीय रूप से मूल्यवान हैं क्योंकि वे हर बार एक व्यापक ऑडिट ट्रेल देते हैं जो सिस्टम पर किसी भी निष्पादन योग्य प्रक्रिया के रूप में शुरू किया जाता है । आप यह भी निर्धारित कर सकते हैं कि प्रक्रिया निर्माण घटना को प्रक्रिया समाप्ति घटना से जोड़कर प्रक्रिया कितनी लंबी हो गई, दोनों घटनाओं में मिली प्रक्रिया आईडी का उपयोग करके। दोनों घटनाओं के उदाहरण नीचे दिए गए हैं।
स्रोत Windows सुरक्षा लॉग में प्रक्रिया ट्रैकिंग घटनाओं का उपयोग कैसे करें
ऑडिट प्रोसेस क्रिएशन को इनेबल कैसे करें
Gpedit.msc चलाएं
"विंडोज सेटिंग्स"> "सुरक्षा सेटिंग्स"> "स्थानीय नीतियां"> "ऑडिट नीति" चुनें
"ऑडिट प्रक्रिया ट्रैकिंग" पर राइट क्लिक करें और "गुण" चुनें
"सफलता" जांचें और "ओके" पर क्लिक करें
ऑडिट प्रोसेस ट्रैकिंग क्या है
यह सुरक्षा सेटिंग यह निर्धारित करती है कि क्या OS प्रक्रिया-संबंधित घटनाओं जैसे प्रक्रिया निर्माण, प्रक्रिया समाप्ति, दोहराव और संभाल के अप्रत्यक्ष ऑब्जेक्ट एक्सेस का ऑडिट करता है।
यदि इस नीति सेटिंग को परिभाषित किया जाता है, तो व्यवस्थापक निर्दिष्ट कर सकता है कि क्या केवल सफलताओं, केवल विफलताओं, दोनों सफलताओं और विफलताओं का ऑडिट करना है, या इन घटनाओं को बिल्कुल ऑडिट नहीं करना है (अर्थात न तो सफलताएं और न ही विफलताएं)।
यदि सफलता ऑडिटिंग सक्षम है, तो हर बार जब ओएस इन प्रक्रिया-संबंधित गतिविधियों में से एक करता है, तो एक ऑडिट प्रविष्टि तैयार की जाती है।
यदि विफलता ऑडिटिंग सक्षम है, तो हर बार ओएस इन गतिविधियों में से एक को निष्पादित करने में विफल होने पर एक ऑडिट प्रविष्टि तैयार की जाती है।
डिफ़ॉल्ट: कोई ऑडिटिंग नहीं
महत्वपूर्ण: ऑडिटिंग नीतियों पर अधिक नियंत्रण के लिए, उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन नोड में सेटिंग्स का उपयोग करें। उन्नत ऑडिट नीति कॉन्फ़िगरेशन के बारे में अधिक जानकारी के लिए, http://go.microsoft.com/fwlink/?LinkId=140969 देखें
।
Nirsoft से ExecutedProgramList के बारे में क्या? क्या मैं उसका उपयोग कर सकता हूं?
ExecutedProgramList उन कार्यक्रमों की पूरी सूची नहीं देता है जिन्हें निष्पादित किया गया है।
उदाहरण के लिए, यह मेरे द्वारा वर्तमान में चलाए जा रहे पोर्टेबल कार्यक्रमों में से किसी को सूचीबद्ध नहीं करता है, जैसे कि एजेंट, नोटपैड ++, जीएसनोट्स के साथ-साथ लगभग हर साइगविन कार्यक्रम जिसे मैंने अपने पिछले पुनरारंभ के बाद से चलाया है।
यह किसी भी कार्यक्रम को सूचीबद्ध नहीं करेगा जो लिंक में वर्णित स्थानों पर कुछ भी नहीं लिखता है:
पहले निष्पादित कार्यक्रमों की सूची निम्न डेटा स्रोतों से एकत्र की गई है:
- रजिस्ट्री चाबी:
HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- रजिस्ट्री चाबी:
HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- रजिस्ट्री चाबी:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- रजिस्ट्री चाबी:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- Windows Prefetch फ़ोल्डर (C: \ Windows \ Prefetch)
स्रोत ExecutedProgramList
आगे की पढाई