CMD/BAT

Iska · Отправлено: **17:45, 12-07-2013** | #2

Сначала выясните под каким пользователем и откуда сие происходит. Затем используйте Process Monitor.

MegaZAC · Отправлено: **17:58, 12-07-2013** | #3

Беда в том что надо выяснить это как-нибудь в бэкграунде. 24 часа в сутки там выполняется приложение на весь рабочий стол, которое нельзя ни свернуть, ни вообще что-то с ним делать. Хотя, я ведь могу запустить Process Monitor, и он будет писать лог...
Мне нужен именно лог, статистика за как минимум сутки. Мощность девайса может не потянуть Process Monitor с толстым логом, и одновременно выполнение основного приложения.

+ ещё одна фича - машин где такое происходит много, и есть необходимость контроля происходящего на всех них. Process Monitor, как я понимаю, надо будет руками запускать на каждой из них, настраивать на нужные файлы, и затем руками же смотреть что он там нашёл? И ведь Process Monitor тоже самое, покажет что работает CMD, а что за приложение или скрипт запустило CMD, не покажет? Подскажите как настроить Process Monitor чтобы показал, если такое возможно.

Iska · Отправлено: **18:43, 12-07-2013** | #4

Цитата MegaZAC:

+ ещё одна фича - машин где такое происходит много »

Речь выше шла вроде как об одном-единственном сетевом ресурсе. Или Вы что-то опустили в своём рассказе?

Цитата MegaZAC:

Подскажите как настроить Process Monitor чтобы показал, если такое возможно. »

Process — Create/Start. В свойствах искомого «cmd.exe» смотрите «Parent PID», затем ищете в логе такой PID и определяете по нём имя/путь процесса, породившего искомый «cmd.exe».

MegaZAC · Отправлено: **20:13, 12-07-2013** | #5

Ну это одна локалка, в которой стоят одинаковые машины, клоны друг друга, каждый выполняю одну и ту же, но свою одинаковую задачу. Файлы, папки, всё одинаковое. Т.е. имеем условно 10 путей \\192.168.х.х\х\то_что_надо\, где и нужно выяснить автора беспредела.

Можно ли это сделать без установки на каждую локальную машину дополнительного софта? Скажем, то что инструментом беспредела является CMD.EXE удалось выяснить через аудит локальных политик, теперь всё пишет в виндовый лог. Вот может есть какой-нибудь подобный способ? Или можно ли встроить в BAT файл какую-нить команду чтобы он писал в лог и свои действия, и действия всех дочерних и сторонних BATов и прочих скриптов и приложений?

MegaZAC · Отправлено: **16:27, 15-07-2013** | #6

И да, если решать через Process Monitor, то надо как-то через автозагрузку, т.к. то что надо отловить происходит вместе с загрузкой. Есть идеи как?

Petya V4sechkin · Конфигурация компьютера

Цитата MegaZAC:

надо как-то через автозагрузку

MegaZAC · Отправлено: **17:33, 16-07-2013** | #8

Не пашет! Вот что что пишут по этой проблеме, такое решение создаёт больше проблем. http://forum.sysinternals.com/cannot...opic17489.html

Система - XP embedded.

Foreigner · Отправлено: **18:55, 16-07-2013** | #9

MegaZAC,
Может решить часть проблемы, будет записывать в лог строку вызова cmd. Для этого необходимо прописать в автозагрузку cmd.exe в:

Цитата:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun

и/или

HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun

такую строку:

Код:

echo %date% %time% %username% %cmdcmdline% >> "C:\Somewhere\cmdlog.txt"

ЗЫ. Параметра Autorun в данных ключах по умолчанию нет (надо создать типа REG_SZ или REG_EXPAND_SZ).

ЗЫЫ. Ага, кроме того отображает внешние команды запускаемых батников.

MegaZAC · Отправлено: **20:27, 16-07-2013** | #10

А можно поподробнее про создание требуемых REG_SZ или REG_EXPAND_SZ?