有没有办法看到什么是在Windows上运行的最后一批(something.bat)? 我在一个包含很多批次的文件夹中,因为我正在通过右键单击并select记事本++一个一个地打开它们。 我有一种感觉,我可以点击“以pipe理员身份运行”,而不是点击“用记事本++打开”。 我不知道,所以我在想如果有一种方法来查看什么蝙蝠文件上次运行在Windows(和什么时候)。 这是Windows 2008服务器。 谢谢你的帮助。
Windows没有启动进程的简单日志。 最接近的一件事是registry项UserAssist :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
它具有某些执行过程的入口,最有趣的子项是:
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
但是这些条目是ROT13编码的。 您可以复制值名称并手动解码。 相反,您可以使用一个工具,使Didier Stevens的UserAssist变得神秘
如果您需要了解执行的进程,至less有两个选项来启用某些日志logging。 当然,这项工作只为未来的过程开始:
启用Windows审核
从SysInternals使用SysMon
第二个更容易设置,最有可能使用更less的资源。 但是它只logging新stream程的开始。 如果双击或在资源pipe理器中openbatch file,这可以正常工作,但如果从cmd.exe中启动,则不会logging批处理执行
尝试事件日志。 点击开始,然后input“事件日志”。 在左边的“Windows日志”下,点击“应用程序”。
batch file需要具有转储日志中的exception或已完成消息的特定代码。 如果没有,你可能会失败。
下面的一个应该给你(现在不能testing):
Nirsoft的Winprefetch视图
Nirsoft的最后活动视图