Como ver qual último lote foi executado no Windows

O Windows não possui um log simples para processos iniciados. Uma coisa que chega perto é a chave de registro UserAssist :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Tem entradas para determinados processos executados, a subchave mais interessante é:

{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count

No entanto, essas entradas são codificadas com ROT13. Você pode copiar o nome do valor e decodificá-lo manualmente. Em vez disso, você pode usar uma ferramenta que desmistifica essas entradas, UserAssist de Didier Stevens

Se você precisa conhecer os processos executados, você tem pelo menos duas opções para ativar alguns registros. É claro que este trabalho somente para futuros processos começa:

• Ativar Auditoria do Windows

• Use SysMon da SysInternals

O segundo é mais fácil de configurar e provavelmente usou menos recursos. No entanto, ele registra apenas o início de um novo processo. Isso funciona bem se você clicar duas vezes ou open um arquivo em lotes no Explorer, mas não registrará uma execução em lote se iniciado a partir do cmd.exe

Tente os registros de eventos. Clique em Iniciar e digite "logs de eventos". Em "Windows Logs" à esquerda, clique em "Aplicativo".

O arquivo em lote precisaria ter um código específico que despeja uma exceção ou uma mensagem completa nos logs. Se não, você pode estar sem sorte.

Um dos itens a seguir deve fornecer a você (não é possível testar agora): Visualização do Winprefetch de Nirsoft Última visão da atividade de Nirsoft