यदि मेरे पास अभी भी पीआईडी ​​है, तो समाप्त विंडोज प्रक्रिया की पहचान कैसे करें?

पृष्ठभूमि: मेरे काम के बीच में, "Microsoft माउस और कीबोर्ड केंद्र" स्थापित करने के लिए लाइसेंस अनुबंध अचानक दिखाई दिया। मैं यह समझना चाहता हूं कि किस प्रक्रिया ने सेटअप लॉन्च किया, लेकिन प्रोसेस एक्सप्लोरर का उपयोग करते हुए, मैंने देखा कि यह चला गया है, मैं केवल इसका पीआईडी ​​(स्क्रीनशॉट देखें) पा रहा था।

सवाल:

यदि आप प्रक्रिया एक्सप्लोरर का उपयोग कर रहे हैं , तो आप शायद उस स्थिति को जानते हैं जहां प्रक्रिया की मूल प्रक्रिया मौजूद नहीं है और आप केवल इसका पीआईडी ​​देख सकते हैं:

क्या कुछ Windows लॉग्स में PID की एसोसिएशन चल रही है ताकि मैं यह पता लगा सकूं कि दिए गए PID के तहत क्या प्रक्रिया चल रही है?

अधिमानतः मैं परिदृश्यों में रुचि रखता हूं, जहां मुझे यह उम्मीद नहीं थी इसलिए मैंने सिस्टम मॉनिटर को सिस्टम में घटनाओं को पकड़ने के लिए उपयोग नहीं किया ।

क्या कुछ Windows लॉग्स में PID की संगति चल रही है

डिफ़ॉल्ट रूप से ऐसे लॉग नहीं हैं। हालाँकि आप Windows सुरक्षा ईवेंट लॉग में प्रक्रिया ट्रैकिंग ईवेंट सक्षम कर सकते हैं।

टिप्पणियाँ:

• समाधान का उपयोग करके समूह नीति में परिवर्तन करने की आवश्यकता है gpedit।

• दुर्भाग्य से ग्रुप पॉलिसी एडिटर (gpedit) विंडोज के स्टार्टर एडिशन, होम और होम प्रीमियम संस्करणों के साथ शामिल नहीं है।

• मेरा क्यू एंड ए विंडोज स्टार्टर संस्करण देखें, होम और होम प्रीमियम में gpedit शामिल नहीं है, मैं इसे कैसे स्थापित करूं? इसे कैसे स्थापित किया जाए, इसके निर्देश के लिए।

Windows सुरक्षा लॉग में प्रक्रिया ट्रैकिंग घटनाओं का उपयोग कैसे करें

Windows 2003 / XP में आप केवल प्रक्रिया ट्रैकिंग ऑडिट नीति को सक्षम करके इन घटनाओं को प्राप्त करते हैं।

विंडोज 7/2008 + में आपको ऑडिट प्रोसेस क्रिएशन को सक्षम करने की आवश्यकता है और वैकल्पिक रूप से, ऑडिट प्रोसेस टर्मिनेशन उपश्रेणियाँ जो आपको समूह नीति ऑब्जेक्ट में उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन के तहत मिलेंगी।

ये घटनाएं अविश्वसनीय रूप से मूल्यवान हैं क्योंकि वे हर बार एक व्यापक ऑडिट ट्रेल देते हैं जो सिस्टम पर किसी भी निष्पादन योग्य प्रक्रिया के रूप में शुरू किया जाता है। आप यह भी निर्धारित कर सकते हैं कि प्रक्रिया निर्माण घटना को प्रक्रिया से हटाकर दोनों घटनाओं में मिली प्रक्रिया आईडी का उपयोग करके प्रक्रिया समाप्ति की घटना को जोड़कर कितनी देर तक चला। दोनों घटनाओं के उदाहरण नीचे दिखाए गए हैं।

स्रोत Windows सुरक्षा लॉग में प्रक्रिया ट्रैकिंग घटनाओं का उपयोग कैसे करें

ऑडिट प्रोसेस क्रिएशन को इनेबल कैसे करें

1. Gpedit.msc चलाएं

2. "विंडोज सेटिंग्स"> "सुरक्षा सेटिंग्स"> "स्थानीय नीतियां"> "ऑडिट नीति" चुनें

   

3. "ऑडिट प्रक्रिया ट्रैकिंग" पर राइट क्लिक करें और "गुण" चुनें

4. "सफलता" जांचें और "ओके" पर क्लिक करें

   

ऑडिट प्रोसेस ट्रैकिंग क्या है

यह सुरक्षा सेटिंग निर्धारित करती है कि क्या OS प्रक्रिया-संबंधित घटनाओं जैसे कि प्रक्रिया निर्माण, प्रक्रिया समाप्ति, दोहराव को संभालना और अप्रत्यक्ष वस्तु पहुंच का ऑडिट करता है।

यदि इस नीति सेटिंग को परिभाषित किया जाता है, तो व्यवस्थापक निर्दिष्ट कर सकता है कि क्या केवल सफलताओं, केवल विफलताओं, दोनों सफलताओं और विफलताओं का ऑडिट करना है, या इन घटनाओं को बिल्कुल ऑडिट नहीं करना है (अर्थात न तो सफलताएं और न ही विफलताएं)।

यदि सफलता ऑडिटिंग सक्षम है, तो हर बार जब ओएस इन प्रक्रिया-संबंधित गतिविधियों में से एक करता है, तो एक ऑडिट प्रविष्टि तैयार की जाती है।

यदि विफलता ऑडिटिंग सक्षम है, तो हर बार ओएस इन गतिविधियों में से एक को निष्पादित करने में विफल होने पर एक ऑडिट प्रविष्टि तैयार की जाती है।

डिफ़ॉल्ट: कोई ऑडिटिंग नहीं

महत्वपूर्ण: ऑडिटिंग नीतियों पर अधिक नियंत्रण के लिए, उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन नोड में सेटिंग्स का उपयोग करें। उन्नत ऑडिट नीति कॉन्फ़िगरेशन के बारे में अधिक जानकारी के लिए, http://go.microsoft.com/fwlink/?LinkId=140969 देखें ।

देखने का एकमात्र तरीका यह है कि आपके पास प्रक्रियाओं के निर्माण को ट्रैक करने के लिए ऑडिट सक्षम होना चाहिए।

"लोकल सिक्योरिटी पॉलिसी" प्रोग्राम से ( secpol.mscरन स्क्रीन से टाइप करें यदि आपको इसे खोजने में परेशानी हो रही है) "सिक्योरिटी सेटिंग्स -> लोकल पॉलिटिक्स -> ऑडिट पॉलिसी" पर जाएं तो "ऑडिट प्रोसेस ट्रैकिंग" को "सफलता" के लिए सक्षम करें।

एक बार जब आप ऐसा कर लेते हैं, तो आप इवेंट व्यूअर के पास जाते हैं और "Secruity" ईवेंट लॉग की जांच करते हैं, जिसमें आपको हर बार एक प्रक्रिया शुरू होने या समाप्त होने के लिए "ऑडिट सक्सेस" प्रविष्टियां दिखाई देंगी।

एक प्रक्रिया से बाहर निकल गया है।

विषय:
    सुरक्षा आईडी: सिस्टम
    खाता नाम: SCOTT-PC $
    खाता डोमेन: WORKGROUP
    लॉगऑन आईडी: 0x3E7

प्रक्रिया की जानकारी:
    प्रक्रिया आईडी: 0x1338
    प्रक्रिया का नाम: C: \ Windows \ System32 \ consent.exe
    बाहर निकलने की स्थिति: 0x0

आपको उस प्रक्रिया आईडी को बदलने की आवश्यकता होगी जिसे आप दशमलव से हेक्स में देख रहे हैं (3336 0xD08 बन जाता है)। परिवर्तित करने का सबसे आसान तरीका खुली हुई विंडो कैलकुलेटर है, "प्रोग्रामर" मोड पर जाएं, "डिक" मोड में नंबर दर्ज करें, फिर "हेक्स" मोड पर क्लिक करें। प्रदर्शित संख्या आपके लिए हेक्स में बदल जाएगी।

यदि यह एक समय की बात है और आप हमेशा अपनी प्रक्रियाओं को लॉग इन नहीं करना चाहते हैं, तो मैं सुझाव दूंगा कि आप Microsoft प्रक्रिया मॉनिटर ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ) का उपयोग कर सकते हैं । यह लोकप्रिय होने से पहले ही चलना चाहिए, लेकिन मूल प्रक्रिया के मृत हो जाने के बाद भी इसने उन सभी सूचनाओं पर कब्जा कर लिया होगा जिनकी आपको तलाश थी।