Existe uma maneira de capturar uma lista de todos os processos executados em uma máquina e seus argumentos de linha de comando, se houver algum?
Eu sei que o explorador de processos permitirá que você faça isso para um processo em execução no momento, mas existe uma maneira de rastrear o que foi executado em uma máquina?
Existe outra ferramenta (nova) da Sysinternals chamada sysmon , ela é executada como um serviço e registra cada início de processo incluindo sua linha de comando e seu processo pai para o log de eventos do Windows.
Ele também registra outras coisas, como acesso de gravação de arquivos e até mesmo conexões de rede, mas você pode desativá-las.
Estou executando o serviço há alguns meses e é interessante ver todos os processos iniciados ao longo do tempo.
O Windows Performance Toolkit tem um Analyzer and Recorder, que não apenas lista processos, mas mostra uma linha de tempo, consumo de recursos e muitas outras coisas com detalhes refinados, o que provavelmente fará mais para ajudar o problema você está realmente tentando resolver, do que uma simples lista de processos.
Para capturar uma lista estática (momentânea) de todos os processos executados em uma máquina e seus argumentos de linha de comando, se houver:
wmic process get name, CommandLine /FORMAT:Texttable.xsl>files\wmictable.txt
Todas as propriedades:
wmic process list /FORMAT:Textvaluelist.xsl