Como identificar o processo Windows terminado se eu ainda tiver seu PID?

Question

Como identificar o processo Windows terminado se eu ainda tiver seu PID?

#1 resposta do (11 votos)
#2 resposta do (3 votos)
#3 resposta do (0 votos)

14

Background: No meio do meu trabalho, o contrato de licença para instalar o "Microsoft Mouse e o Centro de Teclado" apareceu de repente. Eu gostaria de entender qual processo iniciou a configuração, mas usando o Process Explorer, vi que acabou, só consegui encontrar seu PID (veja a imagem).

Pergunta:

Se você estiver usando o Process Explorer , talvez conheça a situação em que o processo pai do o processo não existe mais e você só pode ver seu PID:

ExistemalgunslogsdoWindowscontendoassociaçãodePIDaoprocessoemexecuçãoparaqueeupossadescobrirqualprocessoestavasendoexecutadosoboPIDdeterminado?

Depreferência,estouinteressadoemcenáriosemquenãoesperavaisso,porissonãousei Processo Monitore para capturar eventos no sistema.

process windows windows-8 process-explorer pid

por miroxlav 29.08.2015 / 21:28

3 respostas

3

A única maneira de ver é que você deve ter a auditoria ativada para rastrear a criação de processos.

No programa "Política de segurança local" (Digite secpol.msc na tela de execução, se você estiver com dificuldades para encontrá-la), vá para "Configurações de segurança - > Políticas locais - > Política de auditoria" e ative o "Processo de auditoria rastreamento "para" Sucesso ".

Depoisquevocêfizerisso,váparaovisualizadordeeventosemarqueologdeeventos"Secruity", onde você verá as entradas "Auditoria de sucesso" para cada vez que um processo for iniciado ou finalizado.

A process has exited.

Subject:
    Security ID:        SYSTEM
    Account Name:       SCOTT-PC$
    Account Domain:     WORKGROUP
    Logon ID:       0x3E7

Process Information:
    Process ID: 0x1338
    Process Name:   C:\Windows\System32\consent.exe
    Exit Status:    0x0

Você precisará converter o ID do processo que está procurando de decimal em hexadecimal (3336 torna-se 0xD08). A maneira mais fácil de converter é a calculadora do Windows aberta, vá para o modo "Programador", digite o número no modo "dec" e clique no modo "hex". O número exibido será convertido em hexadecimal para você.

por 29.08.2015 / 22:34

0

Se isso é uma coisa de tempo e você não quer estar sempre registrando seus processos, sugiro usar o Microsoft Process Monitor ( link ). Ele precisa ser executado antes que o popular seja gerado, mas mesmo depois que o processo pai estiver morto, ele terá capturado todas as informações que você estava procurando.

por 01.09.2015 / 12:24

Tags process windows windows-8 process-explorer pid

Evitar que o LibreOffice use aspas (“”) em vez de aspas (estúpidas) em linha reta? Consequencias do 'tempo de escape 0' configuração do tmux?

score 11 · Accepted Answer

Existem alguns logs do Windows contendo associação de PID ao processo em execução

Por padrão, não há registros desse tipo. No entanto, você pode ativar os eventos de controle de processos no log de eventos de segurança do Windows.

Notas:

A solução requer fazer alterações na Diretiva de Grupo usando gpedit .
Infelizmente, o Editor de Diretiva de Grupo (gpedit) não está incluído nas edições Starter Edition, Home e Home Premium do Windows.
Veja minhas perguntas e respostas Windows Starter Edition, Home e Home Premium não incluem o gpedit, como faço para instalá-lo? para obter instruções sobre como instalá-lo.

Como usar eventos de controle de processos no log de segurança do Windows

No Windows 2003 / XP, você obtém esses eventos simplesmente ativando a política de auditoria do acompanhamento de processos.

No Windows 7/2008 +, você precisa ativar a criação do processo de auditoria e, opcionalmente, as subcategorias Terminação do processo de auditoria, que você encontrará em Configuração de política de auditoria avançada em objetos de política de grupo.

Esses eventos são incrivelmente valiosos porque fornecem uma trilha de auditoria abrangente sempre que qualquer executável no sistema é iniciado como um processo. Você pode até determinar por quanto tempo o processo foi executado vinculando o evento de criação do processo ao evento de finalização do processo usando o ID do processo encontrado em ambos os eventos. Exemplos de ambos os eventos são mostrados abaixo.

Fonte Como usar o rastreamento de processos Eventos no log de segurança do Windows

Como habilitar a criação do processo de auditoria

Execute gpedit.msc
Selecione "Configurações do Windows" > "Configurações de segurança" > "Políticas locais" > "Política de Auditoria"
Cliquecomobotãodireitodomouseem"Acompanhamento do processo de auditoria" e selecione "Propriedades"
Marque "Sucesso" e clique em "OK"

Oqueéoacompanhamentodoprocessodeauditoria

ThissecuritysettingdetermineswhethertheOSauditsprocess-relatedeventssuchasprocesscreation,processtermination,handleduplication,andindirectobjectaccess.
Ifthispolicysettingisdefined,theadministratorcanspecifywhethertoauditonlysuccesses,onlyfailures,bothsuccessesandfailures,ortonotaudittheseeventsatall(i.e.neithersuccessesnorfailures).
IfSuccessauditingisenabled,anauditentryisgeneratedeachtimetheOSperformsoneoftheseprocess-relatedactivities.
IfFailureauditingisenabled,anauditentryisgeneratedeachtimetheOSfailstoperformoneoftheseactivities.
Default:Noauditing
Important:Formorecontroloverauditingpolicies,usethesettingsintheAdvancedAuditPolicyConfigurationnode.FormoreinformationaboutAdvancedAuditPolicyConfiguration,seehttp://go.microsoft.com/fwlink/?LinkId=140969.