Onde posso ver quais chamadas de programas EXE foram feitas (incluindo os argumentos)?

Isso pode ser feito usando a política Criação de processos de auditoria, que é ativada na política de grupo se você estiver em um ambiente de domínio ou na política local de uma estação de trabalho individual. Esta configuração está em Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Configuração de auditoria avançada > Acompanhamento detalhado

Sempre que um processo é iniciado, um evento será registrado no log de eventos do Windows com o ID 4688.

As versões mais recentes do Windows e do Windows Server (8.1, 2012 R2 e superior) também registrarão argumentos de linha de comando se você habilitar uma segunda configuração de política chamada "Incluir linha de comando em eventos de criação de processos".

Você deve dar uma olhada na ferramenta Sysinternals chamada Sysmon .

System Monitor (Sysmon) is a Windows system service and device driver that, once installed on a system, remains resident across system reboots to monitor and log system activity to the Windows event log. It provides detailed information about process creations, network connections, and changes to file creation time.

Sysmon includes the following capabilities:

Logs process creation with full command line for both current and parent processes.

Eu escrevi um programa em c ++ que faz exatamente isso. É um programa simples. O programa psedo-code:

começar foreach arg {escrever escrever arg} chame o programa original. fim mova o programa original para outra coisa (executable.original.exe). Mude o seu programa para o nome do original (executável.exe)

badda-bing.

Eu ainda posso ter o código - mas provavelmente é tão fácil fazer isso sozinho.

PS - csharp não funciona para isso.