Windows中是否有所有EXE调用被跟踪的日志文件,或者是否可以启用这样的日志? 这将包含这些调用的参数/参数吗?
谢谢
这可以使用审计进程创build策略来完成,如果您处于域环境中,或者在单个工作站上的本地策略中,则可以在组策略中启用该策略。 此设置位于计算机configuration>策略> Windows设置>安全设置>高级审计configuration>详细跟踪
每次启动进程时,事件都将被logging在ID为4688的Windows事件日志中。
如果启用名为“在进程创build事件中包含命令行”的第二个策略设置,则Windows和Windows服务器(8.1,2012 R2及更高版本)的更新版本也将logging命令行参数。
您应该看看Sysinternals工具,称为Sysmon 。
系统监视器(Sysmon)是一种Windows系统服务和设备驱动程序,一旦安装在系统上,它将在系统重新启动后保持常驻状态,以监视系统活动并将其logging到Windows事件日志中。 它提供了有关进程创build,networking连接和文件创build时间更改的详细信息。
Sysmon包含以下function:
Logs process creation with full command line for both current and parent processes.
我写了一个c ++程序来完成这件事情。 这是简单的程序。 程序psedo-code:
开始foreach arg {写入arg}调用原始程序。 结束把原来的程序移到别的东西(executable.original.exe)。 将您的程序更改为原始名称(executable.exe)
巴达兵。
我可能仍然有代码 – 但它可能自己做这件事很容易。
PS – csharp不起作用。