¿Hay algunos registros de Windows que contengan asociación de PID al proceso en ejecución?
Por defecto no hay tales registros. Sin embargo, puede habilitar los eventos de seguimiento de procesos en el registro de eventos de seguridad de Windows.
Notas:
Cómo usar eventos de seguimiento de procesos en el registro de seguridad de Windows
En Windows 2003 / XP, obtiene estos eventos simplemente habilitando la política de auditoría de Seguimiento de procesos.
En Windows 7/2008 +, debe habilitar la creación del proceso de auditoría y, opcionalmente, las subcategorías de terminación del proceso de auditoría que encontrará en Configuración avanzada de la política de auditoría en los objetos de la política de grupo.
Estos eventos son increíblemente valiosos porque brindan una pista de auditoría exhaustiva de cada vez que se inicia un ejecutable en el sistema como un proceso. Incluso puede determinar cuánto tiempo se ejecutó el proceso al vincular el evento de creación del proceso con el evento de finalización del proceso utilizando la ID de proceso que se encuentra en ambos eventos. A continuación se muestran ejemplos de ambos eventos.
Fuente Cómo utilizar los eventos de seguimiento de procesos en el registro de seguridad de Windows
Cómo habilitar la creación de procesos de auditoría
Ejecute gpedit.msc
Seleccione "Configuración de Windows"> "Configuración de seguridad"> "Políticas locales"> "Política de auditoría"
Haga clic derecho en "Seguimiento del proceso de auditoría" y seleccione "Propiedades"
Marque "Éxito" y haga clic en "Aceptar"
¿Qué es el seguimiento del proceso de auditoría?
Esta configuración de seguridad determina si el sistema operativo audita los eventos relacionados con el proceso, como la creación del proceso, la finalización del proceso, la duplicación del identificador y el acceso indirecto a objetos.
Si se define esta configuración de política, el administrador puede especificar si auditar solo los éxitos, solo los fracasos, tanto los éxitos como los fracasos, o no auditar estos eventos (es decir, ni los éxitos ni los fracasos).
Si la auditoría de éxito está habilitada, se genera una entrada de auditoría cada vez que el sistema operativo realiza una de estas actividades relacionadas con el proceso.
Si la auditoría de fallas está habilitada, se genera una entrada de auditoría cada vez que el sistema operativo no puede realizar una de estas actividades.
Valor predeterminado: sin auditoría
Importante: Para tener más control sobre las políticas de auditoría, use la configuración en el nodo Configuración avanzada de políticas de auditoría. Para obtener más información sobre la configuración avanzada de la política de auditoría, consulte
http://go.microsoft.com/fwlink/?LinkId=140969 .