Регистрируется ли Windows, когда пользователь пытается запустить приложение, которого нет в белом списке?

721
Redblur

Я искал в Google несколько поисковых запросов, пытаясь выяснить, регистрируется ли Windows, когда пользователь пытается запустить приложение, которое не занесено в белый список, и, если да, в каком журнале событий.

Может кто-нибудь пролить некоторый свет на это?

Отредактировано, чтобы добавить детали: я говорю о белом списке с исключениями из Политики ограниченного использования программ, созданной в редакторе групповой политики. Если у пользователя есть разрешение на запуск только двух исполняемых файлов (foo.exe и bar.exe) и он пытается запустить третий исполняемый файл (grapes.exe), будет ли эта попытка запустить третий исполняемый файл, и если да, то каков информация регистрируется, и где она регистрируется?

0

1 ответ на вопрос

0

Я не уверен, что вы подразумеваете под «белым списком» в Windows, но эта операционная система сохраняет файлы журналов при открытии программы.

Ниже приведен список некоторых каталогов в Windows с информацией журнала.

проводник Виндоус

Описание: недавно открытые файлы из проводника Windows. Расположение: C: \ Users \\ AppData \ Roaming \ Microsoft \ Windows \ Recent Items Почему это важно: может быть полезно узнать, какие файлы были недавно открыты. Думаете, кто-то просматривает записи о растратах? Может быть, здесь есть указатель на файл Excel, который может привести вас к месту хранения данных. Вы также можете увидеть ссылки на видео и изображения здесь. Это приводило меня к личному смущению, когда я делал презентацию для ISSA. :) Вход: Irongeek, но благодаря Ниру.

Описание: элементы, недавно запущенные из панели «Выполнить» Расположение: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunMRU Почему это важно: полезно знать, что работает человек, с помощью панели запуска Windows, но в Vista и Windows 7 Многие люди используют текстовое поле «Поиск программ и файлов», которое не отображается в этом разделе реестра. Вход: Irongeek, но благодаря Ниру.

Описание: расположение помощника пользователя: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist Почему это важно: предполагается, что этот ключ содержит информацию о программах и ярлыках, доступ к которым осуществляется с помощью графического интерфейса Windows, включая число выполнений и дату последнего выполнения, но способ его хранения менее чем очевиден. У Дидье Стивенса есть инструмент для анализа данных здесь: http://blog.didierstevens.com/programs/userassist/ Версия, которую я тестировал, похоже, не работает в Windows 7, но г-н Стивенс в этом случае. Вход: Irongeek, но благодаря Ниру и Дидье Стивенсу.

Описание: Журналы событий Расположение: должно быть в C: \ Windows \ System32 \ config или C: \ Windows \ System32 \ winevt \ Журналы в зависимости от ОС. Почему это важно: их можно переместить, поэтому выполните поиск на рабочем столе для * .evt и * .evtx. Пусть вы знаете все виды вещей о том, что происходит на коробке. Вход по: Irongeek.

Эта информация была взята из Irongeeks, вы можете искать "UserAssist Didier Stevens", если вы хотите, чтобы программа с графическим интерфейсом для просмотра открытых программ.

Обратите внимание, что я не могу опубликовать ссылку на эти две вещи, потому что меня обвинят в спаме и продвижении сайта.

Это не распространяется на все, что пользователь мог выполнить в системе. Например, если инструмент командной строки был запущен * в * cmd, он нигде не будет отображаться Vinayak 9 лет назад 0

Похожие вопросы