Как посмотреть какие программы запущены на компьютере

Как сделать, чтобы в момент запуска или завершения работы программы автоматически запускалось другое приложение

Добавив ярлык программы в каталог %USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup , можно сделать так, что эта программа станет автоматически запускаться после загрузки включение компьютера и загрузки рабочего стола. Но давайте представим другую ситуацию. Предположим, вы хотите, чтобы программа запускалась не в момент загрузки Windows, а в момент запуска или завершения работы другой программы.

Использовать для этих целей сторонние менеджеры? В принципе, можно поискать инструмент, который будет выполнять подобные задачи, но к чему засорять систему сторонними фоновыми процессами, если реализовать этот не особо хитрый трюк можно средствами самой Windows.

Для дела вам понадобятся редактор локальных групповых политик и планировщик заданий.

Первым делом нужно включить и настроить аудит процессов.

Откройте командой gpedit.msc редактор локальных групповых политик и перейдите по цепочке Конфигурация компьютера -> Конфигурация Windows -> Политики безопасности -> Локальные политики -> Политика аудита. В правой колонке откройте двойным кликом свойства политики «Аудит отслеживания процессов».

Редактор локальных групповых политик

Отметьте флажком пункт «Успех», сохраните настройки.

Аудит отслеживания процессов

И обновите конфигурацию политик командой gpupdate /force в командной строке или PowerShell .

Gpupdate

Отныне все запускаемые в Windows процессы будут отслеживаться и заноситься в раздел системного журнала событий Журналы Windows -> Безопасность. События эти легко найти — они имеют идентификатор 4688 и описание «Создан новый процесс». Если же открыть свойства события, то можно будет увидеть, какой именно процесс запущен и кем он запущен. Так, из этого скриншота хорошо видно, что был запущен процесс notepad.exe .

Журналы Windows

В рамках аудита отслеживаются не только стартующие, но и завершаемые процессы.

Если Блокнот (процесс notepad.exe) закрыть, в разделе журнала событий «Безопасность» появится запись с кодом 4689 и описанием «Выполнен выход из процесса».

Безопасность

Полученных сведений вполне достаточно, чтобы создать в планировщике задачу, которая станет выполняться в момент занесения в журнал соответствующей записи.

Допустим, вы хотите, чтобы в момент запуска Блокнота у вас автоматически запускалась командная строка.

Откройте командой taskschd.msc планировщик заданий, создайте новое задание.

Планировщик заданий

Переключитесь на вкладку «Действия».

Новое задание

И создайте задачу — в данном примере запуск исполняемого файла cmd.exe .

Действия

Затем переключитесь на вкладку «Триггеры», нажмите «Создать».

Триггеры

И выберите начать задачу «При событии», параметры задания выберите «Настраиваемое» и нажмите «Создать фильтр события».

Создать

В открывшемся окошке в поле «Журналы событий» выберите «Безопасность».

Журналы событий

Код события выставьте 4688 , а в поле «Ключевые слова» выберите «Аудит успеха».

Аудит успеха

Теперь нужно уточнить, при запуске какого именно процесса должно выполняться задание.

Для этого придется вручную отредактировать XLM -код запроса.

Переключитесь в окошке фильтра события на вкладку «XML» и включите ручное редактирование запроса, установив галку в чекбоксе «Изменить запрос вручную».

XML

Отредактируйте код XML так, как показано на скриншоте.

Код XML

Если теперь запустить Блокнот, должна открыться командная строка.

Аналогичным образом создается задание для запуска одного процесса при завершении другого. В этом случае в фильтре событий нужно указать ID 4689 , этот же идентификатор события указывается и в XML -коде, также в запросе следует заменить «NewProcessName» на «ProcessName», так как этот параметр указывается в свойствах события завершение процесса.

К сожалению, по какой-то причине задание на запуск процесса CMD после завершения работы Блокнота у нас не сработало, и мы были бы благодарны, если бы кто-то из наших читателей подсказал, как правильно сформировать XLM запрос, возможно, мы где-то допустили ошибку.

Встроенный инструмент

Операционная система Microsoft Windows обладает собственным набором трекеров, позволяющих отследить, какие изменения происходили с устройством, какие программы были запущены и какие ошибки в работе произошли. Это лишь один из способов того, как посмотреть историю на компьютере. Итак, непосредственно к инструменту. Он носит название «Журнал событий». На старых версиях операционной системы необходимо сделать следующее:

  • перейти в меню «Пуск»;
  • активировать панель управления компьютером;
  • перед тем как посмотреть историю на компьютере, в левой части экрана найти строку под названием «Журнал Windows»;
  • в открывшемся списке необходимо выбрать интересующий раздел;

Для того чтобы посмотреть историю запуска программ на Windows 10, нужно сделать следующее:

  • запустить функцию «Поиск Windows»;
  • ввести фразу «Управление компьютером»;
  • в левой части открывшегося окна активировать строку под названием «Просмотр событий»;
  • далее можно приступать к работе с функциями «Журналы Windows» и «Журналы приложений и служб».

Итак, мы разобрались с тем, где посмотреть историю на компьютере. Теперь стоит проверить список запускавшихся программ.

Как запустить скрипт (действие) при запуске (завершении) определенной программы в Windows?

date

13.05.2021

user

itpro

directory

PowerShell, Windows 10, Windows Server 2016, Групповые политики

comments

комментариев 6

В этой статье мы рассмотрим, как отследить событие запуска определённой программы (процесса) в Windows и выполнить какое-то действие (запустить скрипт, отправить email и т.д.). В качестве примера мы будем отслеживать запуск процесса notepad.exe , когда пользователь открывает эту программу, Windows автоматически запускает определенный PowerShell скрипт.

Прежде всего в Windows нужно настроить политику аудита процессов. На отдельном компьютере можно настроить политику аудита через редактор локальной GPO ( gpedit.msc ), если нужно настроить политику на компьютерах/серверах домена, воспользуйтесь доменным редактором gpmc.msc .

Теперь при запуске любого процесса в Windows в журнале Event Viewer -> Windows Logs -> Security будет появляться событие с EventID 4688 (A new process has been created). В событии указано, кто запустил процесс ( Account name ), имя процесса ( New Process Name ) и имя родительского процесса ( Creator Process Name ).

событие в event viewer EventID 4688 (A new process has been created).

Вы можете сделать выборку событий запуска программы из журнала событий по определенному процессу с помощью PowerShell:

В результате мы получили таблицу с указанием пользователей, которые запускали определённую программу.

powershell скрипт для получения времени запуска программ и пользователей, которые их запускали

Теперь нужно создать задание планировщика, которое должно запускаться при появлении события 4688.

  1. Запустите Task Sheduler ( taskschd.msc ) и создайте новое задание ->Create Task;
  2. Укажите имя задания и укажите, что оно должно запускаться для всех пользователей (When running the task, use the following user account ->BUILTINUsers). Если вы создаете задание планировщика через GPO, используйте формат %LogonDomain%%LogonUser% ;
  3. На вкладке Actions задайте действие, которое вы хотите выполнить. В этом примере я запускаю PowerShell скрипт (вызываем программу powershell.exe с атрибутами -ExecutionPolicy Bypass -file «C:PSProcessRun.ps1 »
  4. Теперь нужно привязать задание планировщика к событию Windows. Перейдите на вкладку Trigger ->New ->On an event ->Custom ->New Event Filter;
  5. В открывшемся окне нужно указать следующие параметры фильтра событий:





Попробуйте теперь запустить процесс notepad.exe. Теперь каждый раз, когда пользователь запускает блокнот, выполняется ваш PowerShell скрипт.

выполнить powershell скрипта при запуске программы

В этом примере я через PowerShell вывожу всплывающее уведомление Windows. Вы можете использовать любой другой PowerShell скрипт — например отправку письма, что угодно.

Если вам нужно отслеживать завершение какой-то программы, используйте Event ID 4689 — A process has exited. После завершения программы иногда бывает нужно запустить скрипт резервного копирования и т.д.

Ранее мы рассматривали PowerShell скрипт для автоматического перезапуска процесса в случае его остановки. Решение с отслеживанием события запуска/остановки процессов более элегантное и не требует наличия запущенного скрипта PowerShell для мониторинга работающих процессов.

Настройки автозапуска во время установки программы в Windows

Некоторые программы, непосредственно в процессе установки, предоставляют пользователям возможность сделать расширенные настройки, в том числе убрать галочку с пункта, разрешающего прописаться в список автоматически запускаемых программ при включении Windows.

Поэтому, чтобы не приходилось вручную убирать автозагрузку, крайне важно внимательно читать всю информацию во время инсталляции программного обеспечения.

Убрать программу из автозапуска при старте Windows

Expert Home 4 — программа для слежения за компьютером

Итак, скачайте программу по ссылке ниже. Не спешите устанавливать. Есть особенности, о которых расскажу далее.

Операционная система: Windows XP, Vista, 7, 8;

Язык: русский, английский;

Скачав файл установки, запустите его. В первом окне нужно выбрать язык и нажать «Далее».

Бесплатная программа для слежения за компьютером

Затем согласитесь с лицензией и нажмите «Далее».

Бесплатная программа для слежения за компьютером

Теперь самое интересное. Программа для слежения за компьютером будет открыться по секретной комбинации клавиш, состоящей из четырёх клавиш. Первые три это Ctrl + Shift + Alt, а четвёртую задаёте вы сами. Это может быть любая буква, которую можно выбрать из списка.

В этом же окне есть поле, в которое нужно ввести пароль, который будет запрошен после ввода секретной комбинации клавиш.

После выбора буквы и ввода пароля нажмите «Далее».

Бесплатная программа для слежения за компьютером

Проверьте правильность всех данных и нажмите «Установить».

Бесплатная программа для слежения за компьютером

Дождитесь завершения установки программы Expert Home 4, и в последнем окне нажмите кнопку «Закрыть». Всё! Программа уже начала свою работу и мониторит все действия пользователя. Как вы заметите, никаких следов работы программы не видно.

Чтобы запустить программу для слежения за компьютером и просмотреть её отчёт, нужно ввести секретную комбинацию клавиш. После этого появится окно, в которое следует записать придуманный вами при установке пароль. И затем вы увидите интерфейс программы – центр управления Expert Home 4. Он состоит из двух разделов – «Отчёты» и «Дополнительно».

Бесплатная программа для слежения за компьютером

Рассмотрю сначала раздел «Отчёты»:

Клавиаутура. Это кейлоггер, то есть здесь отчёт о нажатии каждой клавиши на клавиатуре. Можно посмотреть, что и в какой программе было написано пользователем. Есть возможность выбирать дату отчёта.

Бесплатная программа для слежения за компьютером

Скриншоты. Программа для слежения за компьютером периодически делает скрытые скриншоты экрана и здесь их можно посмотреть. Также есть возможность выбрать дату архива. Кроме этого можно управлять скриншотами с помощью кнопок внизу.

Бесплатная программа для слежения за компьютером

Программы. Отображает, какие программы и когда были запущенны. Видно заголовок программ, название исполняемого файла и другие полезные для анализа данные.

Бесплатная программа для слежения за компьютером

Питание. Здесь можно проанализировать, когда был включен и выключен компьютер.

Бесплатная программа для слежения за компьютером

Активность. Отображается активность пользователей компьютера.

Бесплатная программа для слежения за компьютером

Теперь рассмотрю блок «Дополнительно», который тоже состоит из нескольких важных разделов.

Интернет мониторинг. Программа для слежения за компьютером позволяет передавать файлы отчётов по интернету в зашифрованном виде. Их можно будет просматривать в файловом хранилище Softex (разработчика программы). То есть отчёты можно будет смотреть удалённо. Для начала нажмите кнопку «Разрешить удалённое слежение».

Бесплатная программа для слежения за компьютером

Затем вы получите ссылку, логин и пароль для просмотра отчётов.

Бесплатная программа для слежения за компьютером

Кроме этого, отчёты можно отправить на электронную почту. Для этого нужно нажать на ссылку, которую я показал на скриншоте, и ввести необходимую почту.

Бесплатная программа для слежения за компьютером

Настройки. Здесь собраны все возможные настройки. Не буду подробно рассказывать, упомяну лишь о том, что тут можно поменять и секретную комбинацию клавиш с паролем.

Бесплатная программа для слежения за компьютером

Удаление. Позволяет удалить программу для слежения за компьютером вместе с отчётами. Заметьте, что Expert Home 4 не отображается в списке программ, поэтому удалить можно только здесь.

Бесплатная программа для слежения за компьютером

Справка. Здесь всё понятно и объяснения не требуются.

Похожие статьи:

Иногда бывает, что необходимо открыть какой-либо файл, но программу для её открытия устанавливать не охота,…

Иногда бывает, что необходимо открыть какой-либо файл, но программу для её открытия устанавливать не охота,…

Часто бывает необходимо быстро перекинуть фото с телефона на компьютер, или какие-либо документы с компьютера…

Включаем сбор событий о запуске подозрительных процессов в Windows и выявляем угрозы при помощи Quest InTrust

Одна из часто встречающихся типов атак — порождение злонамеренного процесса в дереве под вполне себе добропорядочными процессами. Подозрение может вызвать путь к исполняемому файлу: частенько вредоносное ПО использует папки AppData или Temp, а это нехарактерно для легитимных программ. Справедливости ради, стоит сказать, что некоторые утилиты автоматического обновления исполняются в AppData, поэтому одной только проверки места запуска недостаточно для утверждения, что программа является вредоносной.

Дополнительный фактор легитимности — криптографическая подпись: многие оригинальные программы подписаны вендором. Можно использовать факт отсутствия подписи как метод выявления подозрительных элементов автозагрузки. Но опять же есть вредоносное ПО, которое использует украденный сертификат, чтобы подписать самого себя.

Ещё можно проверять значение криптографических хэшей MD5 или SHA256, которые могут соответствовать некоторым ранее обнаруженным вредоносным программам. Можно выполнять статический анализ, просматривая сигнатуры в программе (с помощью правил Yara или антивирусных продуктов). А ещё есть динамический анализ (запуск программы в какой-либо безопасной среде и отслеживание ее действия) и реверс-инжиниринг.

Признаков злонамеренного процесса может быть масса. В этой статье мы расскажем как включить аудит соответствующих событий в Windows, разберём признаки, на которые опирается встроенное правило InTrust для выявление подозрительного процесса. InTrust — это CLM-платформа для сбора, анализа и хранения неструктурированных данных, в которой есть уже сотни предустановленных реакций на различные типы атак.

При запуске программы, она загружается в память компьютера. Исполняемый файл содержит компьютерные инструкции и вспомогательные библиотеки (например, *.dll). Когда процесс уже запущен, он может создавать дополнительные потоки. Потоки позволяют процессу выполнять разные наборы инструкций одновременно. Существует много способов проникновения вредоносного кода в память и его запуска, рассмотрим некоторые из них.

Самый простой способ запустить вредоносный процесс — заставить пользователя запустить его напрямую (например, из вложения электронной почты), затем при помощи ключа RunOnce запускать его при каждом включении компьютера. Сюда же можно отнести «безфайловое» вредоносное ПО, которое хранит скрипты PowerShell в ключах реестра, которые выполняются на основе триггера. В этом случае сценарий PowerShell является вредоносным кодом.

Проблема с явным запуском вредоносного программного обеспечения заключается в том, что это известный подход, который легко обнаруживается. Некоторые вредоносные программы предпринимают более хитрые вещи, например, используют другой процесс, чтобы начать исполняться в памяти. Следовательно, процесс может создать другой процесс, запустив определенную компьютерную инструкцию и указав исполняемый файл (.exe) для запуска.

Файл можно указать, используя полный путь (например, C:Windowssystem32cmd.exe) или неполный (например, cmd.exe). Если исходный процесс небезопасен, он позволит запускать нелегитимные программы. Атака может выглядеть так: процесс запускает cmd.exe без указания полного пути, злоумышленник помещает свой cmd.exe в такое место, чтобы процесс запустил его раньше легитимного. После запуска вредоносной программы она, в свою очередь, может запустить легитимную программу (например, C:Windowssystem32cmd.exe), чтобы исходная программа продолжала работать должным образом.

Разновидность предыдущей атаки — DLL-инъекция в легитимный процесс. Когда процесс запускается, он находит и загружает библиотеки, которые расширяют его функциональные возможности. Используя DLL-инъекцию, злоумышленник создает вредоносную библиотеку с тем же именем и API, что и у легитимной. Программа загружает вредоносную библиотеку, а она, в свою очередь, загружает легитимную, и, по мере необходимости, для выполнения операций, вызывает её. Вредоносная библиотека начинает выполнять роль прокси для хорошей библиотеки.

Еще один способ поместить вредоносный код в память — вставить его в небезопасный процесс, который уже запущен. Процессы получают входные данные из различных источников — читают из сети или файлов. Обычно они выполняют проверку, чтобы убедиться в легитимности входных данных. Но некоторые процессы не имеют должной защиты при выполнении инструкций. При такой атаке не существует библиотеки на диске или исполняемого файла с вредоносным кодом. Всё хранится в памяти вместе с эксплуатируемым процессом.

Теперь разберемся методикой включения сбора подобных событий в Windows и с правилом в InTrust, которое реализует защиту от подобных угроз. Для начала, активируем его через консоль управления InTrust.

image

Правило использует возможности отслеживания процессов ОС Windows. К сожалению, включение сбора таких событий далеко не очевиден. Нужно изменить 3 разных настройки групповой политики:

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit process tracking

image

Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Detailed Tracking > Audit process creation

image

Computer Configuration > Policies > Administrative Templates > System > Audit Process Creation > Include command line in process creation events

image

После включения, правила InTrust позволяют обнаруживать неизвестные ранее угрозы, которые демонстрируют подозрительное поведение. Например, можно выявить описанное тут вредоносное ПО Dridex. Благодаря проекту HP Bromium, известно, как устроена такая угроза.

image

В цепочке своих действий Dridex использует schtasks.exe, чтобы создать запланированное задание. Использование именно этой утилиты из командной строки считается весьма подозрительным поведением, аналогично выглядит запуск svchost.exe с параметрами, которые указывают на пользовательские папки или с параметрами, похожими на команды «net view» или «whoami». Вот фрагмент соответствующего правила SIGMA:

В InTrust всё подозрительное поведение включено в одно правило, потому что большинство этих действий не являются специфическими для конкретной угрозы, а скорее являются подозрительными в комплексе и в 99% случаев используются для не совсем благородных целей. Такой список действий включает, но не ограничивается:

  • Процессы, выполняющиеся из необычных мест, таких как пользовательские временные папки.
  • Хорошо известный системный процесс с подозрительным наследованием — некоторые угрозы могут попытаться использовать имя системных процессов, чтобы остаться незамеченными.
  • Подозрительные исполнения административных инструментов, таких как cmd или PsExec, когда они используют учетные данные локальной системы или подозрительное наследование.
  • Подозрительные операции теневого копирования — обычное поведение вирусов-вымогателей перед шифрованием системы, они убивают резервные копии:

Т.к. в InTrust это правило мониторинга, вы можете выполнить ответный сценарий в качестве реакции на угрозу. Можно использовать один из встроенных сценариев или создать свой собственный, а InTrust автоматически распространит его.

image

Кроме того, можно проверить всю связанную с событием телеметрию: скрипты PowerShell, выполнение процессов, манипуляции с запланированными задачами, административную активность WMI и использовать их для постмортемов при инцидентах безопасности.

image

В InTrust есть сотни других правил, некоторые из них:

  • Выявление атаки понижения версии PowerShell — когда кто-то специально использует старую версию PowerShell, т.к. в более старой версии не было возможности аудита происходящего.
  • Выявление входа в систему с высоким уровнем привилегий — когда учетные записи, которые являются членами определенной привилегированной группы (например, администраторы домена), случайно или из-за инцидентов безопасности интерактивно входят в систему на рабочих станциях.

Подписывайтесь на нашу страницу в Фейсбуке, публикуем там краткие заметки и интересные ссылки.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector