यदि मेरे पास अभी भी पीआईडी ​​है, तो समाप्त विंडोज प्रक्रिया की पहचान कैसे करें?


14

पृष्ठभूमि: मेरे काम के बीच में, "Microsoft माउस और कीबोर्ड केंद्र" स्थापित करने के लिए लाइसेंस अनुबंध अचानक दिखाई दिया। मैं यह समझना चाहता हूं कि किस प्रक्रिया ने सेटअप लॉन्च किया, लेकिन प्रोसेस एक्सप्लोरर का उपयोग करते हुए, मैंने देखा कि यह चला गया है, मैं केवल इसका पीआईडी ​​(स्क्रीनशॉट देखें) पा रहा था।

सवाल:

यदि आप प्रक्रिया एक्सप्लोरर का उपयोग कर रहे हैं , तो आप शायद उस स्थिति को जानते हैं जहां प्रक्रिया की मूल प्रक्रिया मौजूद नहीं है और आप केवल इसका पीआईडी ​​देख सकते हैं:

यहां छवि विवरण दर्ज करें

क्या कुछ Windows लॉग्स में PID की एसोसिएशन चल रही है ताकि मैं यह पता लगा सकूं कि दिए गए PID के तहत क्या प्रक्रिया चल रही है?

अधिमानतः मैं परिदृश्यों में रुचि रखता हूं, जहां मुझे यह उम्मीद नहीं थी इसलिए मैंने सिस्टम मॉनिटर को सिस्टम में घटनाओं को पकड़ने के लिए उपयोग नहीं किया ।

जवाबों:


11

क्या कुछ Windows लॉग्स में PID की संगति चल रही है

डिफ़ॉल्ट रूप से ऐसे लॉग नहीं हैं। हालाँकि आप Windows सुरक्षा ईवेंट लॉग में प्रक्रिया ट्रैकिंग ईवेंट सक्षम कर सकते हैं।

टिप्पणियाँ:


Windows सुरक्षा लॉग में प्रक्रिया ट्रैकिंग घटनाओं का उपयोग कैसे करें

Windows 2003 / XP में आप केवल प्रक्रिया ट्रैकिंग ऑडिट नीति को सक्षम करके इन घटनाओं को प्राप्त करते हैं।

विंडोज 7/2008 + में आपको ऑडिट प्रोसेस क्रिएशन को सक्षम करने की आवश्यकता है और वैकल्पिक रूप से, ऑडिट प्रोसेस टर्मिनेशन उपश्रेणियाँ जो आपको समूह नीति ऑब्जेक्ट में उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन के तहत मिलेंगी।

ये घटनाएं अविश्वसनीय रूप से मूल्यवान हैं क्योंकि वे हर बार एक व्यापक ऑडिट ट्रेल देते हैं जो सिस्टम पर किसी भी निष्पादन योग्य प्रक्रिया के रूप में शुरू किया जाता है। आप यह भी निर्धारित कर सकते हैं कि प्रक्रिया निर्माण घटना को प्रक्रिया से हटाकर दोनों घटनाओं में मिली प्रक्रिया आईडी का उपयोग करके प्रक्रिया समाप्ति की घटना को जोड़कर कितनी देर तक चला। दोनों घटनाओं के उदाहरण नीचे दिखाए गए हैं।

यहां छवि विवरण दर्ज करें

स्रोत Windows सुरक्षा लॉग में प्रक्रिया ट्रैकिंग घटनाओं का उपयोग कैसे करें


ऑडिट प्रोसेस क्रिएशन को इनेबल कैसे करें

  1. Gpedit.msc चलाएं

  2. "विंडोज सेटिंग्स"> "सुरक्षा सेटिंग्स"> "स्थानीय नीतियां"> "ऑडिट नीति" चुनें

    यहां छवि विवरण दर्ज करें

  3. "ऑडिट प्रक्रिया ट्रैकिंग" पर राइट क्लिक करें और "गुण" चुनें

  4. "सफलता" जांचें और "ओके" पर क्लिक करें

    यहां छवि विवरण दर्ज करें


ऑडिट प्रोसेस ट्रैकिंग क्या है

यह सुरक्षा सेटिंग निर्धारित करती है कि क्या OS प्रक्रिया-संबंधित घटनाओं जैसे कि प्रक्रिया निर्माण, प्रक्रिया समाप्ति, दोहराव को संभालना और अप्रत्यक्ष वस्तु पहुंच का ऑडिट करता है।

यदि इस नीति सेटिंग को परिभाषित किया जाता है, तो व्यवस्थापक निर्दिष्ट कर सकता है कि क्या केवल सफलताओं, केवल विफलताओं, दोनों सफलताओं और विफलताओं का ऑडिट करना है, या इन घटनाओं को बिल्कुल ऑडिट नहीं करना है (अर्थात न तो सफलताएं और न ही विफलताएं)।

यदि सफलता ऑडिटिंग सक्षम है, तो हर बार जब ओएस इन प्रक्रिया-संबंधित गतिविधियों में से एक करता है, तो एक ऑडिट प्रविष्टि तैयार की जाती है।

यदि विफलता ऑडिटिंग सक्षम है, तो हर बार ओएस इन गतिविधियों में से एक को निष्पादित करने में विफल होने पर एक ऑडिट प्रविष्टि तैयार की जाती है।

डिफ़ॉल्ट: कोई ऑडिटिंग नहीं

महत्वपूर्ण: ऑडिटिंग नीतियों पर अधिक नियंत्रण के लिए, उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन नोड में सेटिंग्स का उपयोग करें। उन्नत ऑडिट नीति कॉन्फ़िगरेशन के बारे में अधिक जानकारी के लिए, http://go.microsoft.com/fwlink/?LinkId=140969 देखें ।


डेव, शायद आप "पश्चिम पर सबसे तेज़ बंदूक" दृष्टिकोण का उपयोग कर सकते थे । जब आप अपना लंबा और विस्तृत उत्तर लिख रहे थे, तो मैंने दूसरे उत्तर में भी कदम उठाए (जैसा कि आपने बाद में जोड़ा) और वह इसे स्वीकार करने वाला था। तो अब मेरे पास एक दुविधा है जो स्वीकार करने का जवाब देती है ... :)
miroxlav

1
मेरे पास पहले उत्तर की तुलना में सबसे अच्छा उत्तर होगा;) यदि वे एक ही चीज़ हैं तो यह एक बोनस है। मैंने आपको सूचित किया (अब एक साफ-सुथरी टिप्पणी में) कि मैं अपना उत्तर तैयार कर रहा था। /: और मैं के माध्यम से अपने मोबाइल एक धीमी गति से टेदर इंटरनेट कनेक्शन का उपयोग कर रहा
DavidPostill

अरे हाँ, आपने किया। OTOH, शायद "आप स्थानीय नीतियों में ऑडिट लॉगिंग को सक्षम कर सकते हैं" लिखने के लिए शर्मिंदा न हों, पोस्ट करें और शैक्षिक मूल्य के साथ उत्तर बनाना जारी रखें। कभी-कभी छोटे सुराग भी बेहतर जवाब देने के लिए 60 मिनट इंतजार करने की तुलना में (ओपी) मेरी मदद कर सकते हैं :) मेरा मतलब है, मुझे पता है कि स्थानीय नीतियां कहां हैं, मुझे सिर्फ एक मामूली सुराग की जरूरत है।
20

@DavidPostill: अच्छा होगा यदि आप उल्लेख कर सकते हैं कि ये लॉग कितनी बार साफ किए गए हैं (या कितनी बार उन्हें मैन्युअल रूप से साफ किया जाना चाहिए), क्योंकि मुझे लगता है कि वे बहुत लंबे समय तक प्राप्त कर सकते हैं ...
user541686

1
@ मेहरदाद इवेंट लॉग, यदि आवश्यक हो, का उपयोग कर कमांड लाइन से हटाया जा सकता है wevtutil। इवेंट व्यूअर GUI का उपयोग करने की तुलना में यह आसान है।
DavidPostill

3

देखने का एकमात्र तरीका यह है कि आपके पास प्रक्रियाओं के निर्माण को ट्रैक करने के लिए ऑडिट सक्षम होना चाहिए।

"लोकल सिक्योरिटी पॉलिसी" प्रोग्राम से ( secpol.mscरन स्क्रीन से टाइप करें यदि आपको इसे खोजने में परेशानी हो रही है) "सिक्योरिटी सेटिंग्स -> लोकल पॉलिटिक्स -> ऑडिट पॉलिसी" पर जाएं तो "ऑडिट प्रोसेस ट्रैकिंग" को "सफलता" के लिए सक्षम करें।

यहां छवि विवरण दर्ज करें

एक बार जब आप ऐसा कर लेते हैं, तो आप इवेंट व्यूअर के पास जाते हैं और "Secruity" ईवेंट लॉग की जांच करते हैं, जिसमें आपको हर बार एक प्रक्रिया शुरू होने या समाप्त होने के लिए "ऑडिट सक्सेस" प्रविष्टियां दिखाई देंगी।

एक प्रक्रिया से बाहर निकल गया है।

विषय:
    सुरक्षा आईडी: सिस्टम
    खाता नाम: SCOTT-PC $
    खाता डोमेन: WORKGROUP
    लॉगऑन आईडी: 0x3E7

प्रक्रिया की जानकारी:
    प्रक्रिया आईडी: 0x1338
    प्रक्रिया का नाम: C: \ Windows \ System32 \ consent.exe
    बाहर निकलने की स्थिति: 0x0

आपको उस प्रक्रिया आईडी को बदलने की आवश्यकता होगी जिसे आप दशमलव से हेक्स में देख रहे हैं (3336 0xD08 बन जाता है)। परिवर्तित करने का सबसे आसान तरीका खुली हुई विंडो कैलकुलेटर है, "प्रोग्रामर" मोड पर जाएं, "डिक" मोड में नंबर दर्ज करें, फिर "हेक्स" मोड पर क्लिक करें। प्रदर्शित संख्या आपके लिए हेक्स में बदल जाएगी।


हाँ, यह उसी तरह का उत्तर है जिसकी मुझे उम्मीद थी। सीधे शब्दों में कहा: कुछ लॉगिंग सक्षम करें और इस प्रकार इसके परिणामों की जांच करने में सक्षम हो जाएं।
miroxlav

0

यदि यह एक समय की बात है और आप हमेशा अपनी प्रक्रियाओं को लॉग इन नहीं करना चाहते हैं, तो मैं सुझाव दूंगा कि आप Microsoft प्रक्रिया मॉनिटर ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ) का उपयोग कर सकते हैं । यह लोकप्रिय होने से पहले ही चलना चाहिए, लेकिन मूल प्रक्रिया के मृत हो जाने के बाद भी इसने उन सभी सूचनाओं पर कब्जा कर लिया होगा जिनकी आपको तलाश थी।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.