ColinOL

A Small Website

用户工具

站点工具


wiki:windows:windows-run-app-then-do-sth

差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

后一修订版
前一修订版
上一修订版 两侧同时换到之后的修订记录
wiki:windows:windows-run-app-then-do-sth [2020/05/12 23:03]
colin 创建
wiki:windows:windows-run-app-then-do-sth [2021/11/16 22:26]
colin
行 8: 行 8:
  
 在打开的本地安全策略中依次展开本地策略>审核策略>双击打开右侧的"审核进程跟踪",勾选"审核这些操作"下方的"成功">确定 在打开的本地安全策略中依次展开本地策略>审核策略>双击打开右侧的"审核进程跟踪",勾选"审核这些操作"下方的"成功">确定
 +
 +{{https://i.loli.net/2020/05/14/NpKRB4woJxkCLhF.png|打开审核进程跟踪}}
  
 设置完成后可以随便打开一个应用程序再关闭,然后右键点击开始按钮>事件查看器>Windows日志>安全>可以看到最新一条的事件记录(4688)可以成功记录到刚才启动的程序的事件. 设置完成后可以随便打开一个应用程序再关闭,然后右键点击开始按钮>事件查看器>Windows日志>安全>可以看到最新一条的事件记录(4688)可以成功记录到刚才启动的程序的事件.
 +
 +{{https://i.loli.net/2020/05/14/HXjrn9MGwIe6ODf.png|启动程序安全事件}}
  
 ===== 设定任务计划程序 ===== ===== 设定任务计划程序 =====
 +
 接下来回到任务计划程序中,修改计划任务的触发器,使用"发生事件时"触发>自定义>新建事件筛选器,切换至"XML"标签页,勾选"手动编辑查询",粘贴下面内容: 接下来回到任务计划程序中,修改计划任务的触发器,使用"发生事件时"触发>自定义>新建事件筛选器,切换至"XML"标签页,勾选"手动编辑查询",粘贴下面内容:
  
行 18: 行 23:
   <Query Id="0" Path="Security">   <Query Id="0" Path="Security">
     <Select Path="Security">     <Select Path="Security">
- *[System[band(Keywords,9007199254740992) and  +        *[System[band(Keywords,9007199254740992) and (EventID=4688)]]  
- (EventID=4688)]] and  +        and  
- *[EventData[Data[@Name='NewProcessName'] and  +        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Program Portable\TotalCMD64\Totalcmd64.exe')]] 
- (Data='C:\Windows\System32\notepad.exe')]] +        and 
- </Select>+        *[EventData[Data[@Name='TargetUserSid'] and (Data='S-1-0-0')]] 
 +    </Select>
   </Query>   </Query>
 </QueryList> </QueryList>
 </code> </code>
  
-注:请将上面代码中倒数第四行Data=''中的内容替换为程序A的完整路径.+注:请将上面代码中 @Name='NewProcessName' and Data=''中的路径内容替换为程序A的完整路径 
 + 
 +PS. 其他资料中,只筛选 @Name='NewProcessName' 相关,但当从该进程启动的其他进程,事件也会重复触发。因此加入 @TargetUserSid Data='S-1-0-0',测试有效。 
 + 
 +{{https://i.loli.net/2020/05/14/JZGxdw6i5gUMhbV.png|编辑任务计划事件筛选器}}
  
 然后再继续配置"创建任务"窗口中的"操作"内容.  然后再继续配置"创建任务"窗口中的"操作"内容. 
 +
 +注意,使用笔记本创建任务计划,请确认是否勾选“只有在计算机使用交流电源时才启动该任务”。
  
 ===== 参考 ===== ===== 参考 =====
   - [[https://answers.microsoft.com/zh-hans/windows/forum/all/%E8%AF%B7%E9%97%AE%E5%A6%82%E4%BD%95%E4%BD%BF/eeba49ef-1f81-4b31-967e-72bf6f191fc4|请问如何使用任务计划程序中的触发器——“发生事件时”?]]   - [[https://answers.microsoft.com/zh-hans/windows/forum/all/%E8%AF%B7%E9%97%AE%E5%A6%82%E4%BD%95%E4%BD%BF/eeba49ef-1f81-4b31-967e-72bf6f191fc4|请问如何使用任务计划程序中的触发器——“发生事件时”?]]
   - [[https://superuser.com/questions/745318/how-to-start-a-program-when-another-one-is-started|How to start a program when another one is started]]   - [[https://superuser.com/questions/745318/how-to-start-a-program-when-another-one-is-started|How to start a program when another one is started]]
 +  - [[:wiki:app:autohotkey]]
 +  - [[https://docs.microsoft.com/zh-cn/windows/win32/adsi/search-filter-syntax|搜索筛选器语法]]
wiki/windows/windows-run-app-then-do-sth.txt · 最后更改: 2021/11/16 22:49 由 colin